Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Data Encryption Workshop> Visão geral de serviço> KMS> Usar o KMS
Atualizado em 2022-12-29 GMT+08:00
Ver PDF

Usar o KMS

Pré-requisitos

Todas as CMKs mencionadas nesta seção são chaves simétricas. Para obter detalhes sobre chaves simétricas e chaves assimétricas, consulte Visão geral de chave.

Interagindo com os serviços da HUAWEI CLOUD

Serviços da HUAWEI CLOUD usa a tecnologia de criptografia de envelope e chamam as APIs de KMS para criptografar os recursos do serviço. Suas CMKs estão sob sua própria gestão. Com sua concessão, serviços da HUAWEI CLOUD usa uma CMK específica sua para criptografar dados.

Figura 1 Como a HUAWEI CLOUD usa o KMS para criptografia
O processo de encriptação é o seguinte:
  1. Criar uma CMK no KMS.
  2. Serviços da HUAWEI CLOUD chama a criar-datakey API do KMS para criar uma DEK. Então você obtém uma DEK de texto não criptografado e uma DEK de texto cifrado.

    As DEKs de texto cifrado são geradas quando você usa uma CMK para criptografar as DEKs de texto não criptografado.

  3. Serviços da HUAWEI CLOUD usa a DEK de texto simples para criptografar um arquivo de texto não criptografado, gerando um arquivo de texto cifrado.
  4. Serviços da HUAWEI CLOUD armazenam o DEK de texto cifrado e o arquivo de texto cifrado em um dispositivo de armazenamento persistente ou em um serviço de armazenamento.

Quando os usuários baixam os dados de um serviço da HUAWEI CLOUD, o serviço usa a CMK especificada pelo KMS para descriptografar o texto cifrado DEK, usa a DEK descriptografada para descriptografar dados, e, em seguida, fornece os dados descriptografados para os usuários baixarem.

Tabela 1 Lista de serviços em nuvem que usam criptografia KMS

Nome do serviço

Descrição

Object Storage Service (OBS)

Você pode fazer upload de objetos e baixá-los do Object Storage Service (OBS) no modo comum ou no modo de criptografia do lado do servidor. Quando você carrega objetos no modo de criptografia, os dados são criptografados no lado do servidor e, em seguida, armazenados com segurança no OBS em texto cifrado. Quando você baixa objetos criptografados, os dados em texto cifrado são descriptografados no lado do servidor e, em seguida, fornecidos a você em texto sem formatação. O OBS suporta a encriptação do lado do servidor com o modo de chaves geridas por KMS (SSE-KMS). No modo SSE-KMS, o OBS utiliza as chaves fornecidas pelo KMS para a encriptação do lado do servidor.

Para obter detalhes sobre como carregar objetos para o OBS no modo SSE-KMS, consulte Guia de operação do console do Object Storage Service.

Elastic Volume Service (EVS)

Se você ativar a função de criptografia ao criar um disco EVS, o disco será criptografado com a DEK gerada usando sua CMK. Os dados armazenados no disco EVS serão automaticamente encriptados.

Para obter detalhes sobre como usar a função de criptografia do EVS, consulte o Guia de usuário do Elastic Volume Service.

Image Management Service (IMS)

Ao criar uma imagem privada usando um arquivo de imagem externo, você pode ativar a função de criptografia de imagem privada e selecionar uma CMK fornecida pelo KMS para criptografar a imagem.

Para obter detalhes sobre como usar a função de criptografia de imagem privada do Serviço de Gerenciamento de Imagens (IMS), consulte o Guia de usuário do Image Management Service .

Relational Database Service (RDS)

Ao comprar uma instância de banco de dados, você pode ativar a função de criptografia de disco da instância de banco de dados e selecionar uma CMK criada no KMS para criptografar o disco da instância de banco de dados. Ativar a função de criptografia de disco aumentará a segurança dos dados.

Para obter detalhes sobre como usar a função de criptografia de disco do RDS, consulte o Guia de usuário do Relational Database Service.

Document Database Service (DDS)

Ao comprar uma instância DDS, você pode ativar a função de criptografia de disco da instância e selecionar uma CMK criada no KMS para criptografar o disco da instância. Ativar a função de criptografia de disco aumentará a segurança dos dados.

Para obter detalhes sobre como usar a função de criptografia de disco do DDS, consulte o Guia de usuário do Document Database Service.

Trabalhar com aplicações de usuário

Para criptografar dados de texto não criptografado, um aplicação de usuário pode chamar a API KMS necessária para criar uma DEK. A DEK pode então ser usada para criptografar os dados de texto não criptografado. Em seguida, a aplicação pode armazenar os dados criptografados. Além disso, a aplicação do usuário pode chamar a API do KMS para criar CMKs. As DEKs podem ser armazenadas em texto cifrado após serem criptografadas com as CMKs.

A criptografia de envelope é implementada, com CMKs armazenadas em KMS e DEKs de texto cifrado em aplicações de usuário. O KMS é chamado para descriptografar uma DEK de texto cifrado somente quando necessário.

O processo de encriptação é o seguinte:
  1. A aplicação chama o criar-chave API do KMS para criar uma CMK.
  2. A aplicação chama o criar-datakey API do KMS para criar uma DEK. Uma DEK de texto simples e uma DEK de texto cifrado são geradas.

    As DEKs de texto cifrado são geradas quando você usa uma CMK para criptografar as DEKs de texto não criptografado em 1.

  3. A aplicação usa a DEK de texto sem formatação para criptografar um arquivo de texto sem formatação. Um arquivo de texto cifrado é gerado.
  4. A aplicação salva a DEK de texto cifrado e o arquivo de texto cifrado juntos em um dispositivo de armazenamento persistente ou um serviço de armazenamento.

Para obter detalhes, consulte a Referência de API do Data Encryption Workshop.

Tópico principal: KMS