Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-09-14 GMT+08:00

Uso do KMS

Pré-requisitos

Todas as chaves personalizadas mencionadas nesta seção são chaves simétricas. Para obter detalhes sobre chaves simétricas e chaves assimétricas, consulte Tipos de chaves.

Interação com os serviços da Huawei Cloud

Serviços da Huawei Cloud usam a tecnologia de criptografia de envelope e chamam as APIs do KMS para criptografar os recursos do serviço. Suas CMKs estão sob seu próprio gerenciamento. Com sua concessão, os serviços da Huawei Cloud usam uma chave personalizada específica sua para criptografar dados.

Figura 1 Como a Huawei Cloud usa o KMS para criptografia
O processo de criptografia é o seguinte:
  1. Crie uma chave personalizada no KMS.
  2. Serviços da Huawei Cloud chamam a API create-datakey do KMS para criar uma DEK. Então você obtém uma DEK de texto não criptografado e uma DEK de texto cifrado.

    As DEKs de texto cifrado são geradas quando você usa uma CMK para criptografar as DEKs de texto não criptografado.

  3. Serviços da Huawei Cloud usam a DEK de texto não criptografado para criptografar um arquivo de texto não criptografado, gerando um arquivo de texto cifrado.
  4. Serviços da Huawei Cloud armazenam a DEK de texto cifrado e o arquivo de texto cifrado em um dispositivo de armazenamento persistente ou em um serviço de armazenamento.

Quando os usuários baixam os dados de um serviço da Huawei Cloud, o serviço usa a chave personalizada especificada pelo KMS para descriptografar a DEK de texto cifrado, usa a DEK descriptografada para descriptografar dados e fornece os dados descriptografados para os usuários baixarem.

Tabela 1 Lista de serviços de nuvem que usam criptografia do KMS

Nome do serviço

Descrição

Object Storage Service (OBS)

Você pode fazer upload e download de objetos do Object Storage Service (OBS) no modo comum ou no modo de criptografia no lado do servidor. Quando você faz upload de objetos no modo de criptografia, os dados são criptografados no lado do servidor e, em seguida, armazenados com segurança no OBS em texto cifrado. Quando você baixa objetos criptografados, os dados em texto cifrado são descriptografados no lado do servidor e, em seguida, fornecidos a você em texto não criptografado. O OBS suporta a criptografia no lado do servidor com o modo de chaves gerenciadas por KMS (SSE-KMS). No modo SSE-KMS, o OBS usa as chaves fornecidas pelo KMS para criptografia do lado do servidor.

Para obter detalhes sobre como carregar objetos para o OBS no modo SSE-KMS, consulte o Guia de operação do console do Object Storage Service.

Elastic Volume Service (EVS)

Se você ativar a função de criptografia ao criar um disco EVS, o disco será criptografado com a DEK gerada usando sua CMK. Os dados armazenados no disco EVS serão automaticamente criptografados.

Para obter detalhes sobre como usar a função de criptografia do EVS, consulte Guia de usuário do Elastic Volume Service.

Image Management Service (IMS)

Ao criar uma imagem privada usando um arquivo de imagem externo, você pode ativar a função de criptografia de imagem privada e selecionar uma CMK fornecida pelo KMS para criptografar a imagem.

Para obter detalhes sobre como usar a função de criptografia de imagem privada do Image Management Service (IMS), consulte Guia de usuário do Image Management Service.

Scalable File Service (SFS)

Ao criar um sistema de arquivos no SFS, a CMK fornecida pelo KMS pode ser selecionada para criptografar o sistema de arquivos, de modo que os arquivos armazenados no sistema de arquivos sejam criptografados automaticamente.

Para obter detalhes sobre como usar a função de criptografia do sistema de arquivos do SFS, consulte Guia de usuário do Scalable File Service.

Relational Database Service (RDS)

Ao comprar uma instância de banco de dados, você pode ativar a função de criptografia de disco da instância de banco de dados e selecionar uma CMK criada no KMS para criptografar o disco da instância de banco de dados. Ativar a função de criptografia de disco aumentará a segurança dos dados.

Para obter detalhes sobre como usar a função de criptografia de disco do RDS, consulte Guia de usuário do Relational Database Service.

Document Database Service (DDS)

Ao comprar uma instância do DDS, você pode ativar a função de criptografia de disco da instância e selecionar uma CMK criada no KMS para criptografar o disco da instância. Ativar a função de criptografia de disco aumentará a segurança dos dados.

Para obter detalhes sobre como usar a função de criptografia de disco do DDS, consulte Primeiros passos do Document Database Service.

Trabalho com aplicações de usuário

Para criptografar dados de texto não criptografado, uma aplicação de usuário pode chamar a API do KMS necessária para criar uma DEK. A DEK pode então ser usada para criptografar os dados de texto não criptografado. Em seguida, a aplicação pode armazenar os dados criptografados. Além disso, a aplicação do usuário pode chamar a API do KMS para criar CMKs. As DEKs podem ser armazenadas em texto cifrado após serem criptografadas com as CMKs.

A criptografia de envelope é implementada, com CMKs armazenadas em KMS e DEKs de texto cifrado em aplicações de usuário. O KMS é chamado para descriptografar uma DEK de texto cifrado somente quando necessário.

O processo de criptografia é o seguinte:
  1. A aplicação chama a API create-key do KMS para criar uma chave personalizada.
  2. A aplicação chama a API create-datakey do KMS para criar uma DEK. Uma DEK de texto não criptografado e uma DEK de texto cifrado são geradas.

    As DEKs de texto cifrado são geradas quando você usa uma CMK para criptografar as DEKs de texto não criptografado em 1.

  3. A aplicação usa a DEK de texto não criptografado para criptografar um arquivo de texto não criptografado. Um arquivo de texto cifrado é gerado.
  4. A aplicação salva o DEK de texto cifrado e o arquivo de texto cifrado juntos em um dispositivo de armazenamento persistente ou um serviço de armazenamento.

Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.