Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Elastic Cloud Server/ Visão geral de serviço/ Segurança/ Criptografia do usuário
Atualizado em 2023-04-28 GMT+08:00
Ver PDF
Compartilhar

Criptografia do usuário

A criptografia do usuário permite que você use o recurso de criptografia fornecido na plataforma de nuvem pública para criptografar ECS recursos, melhorando a segurança dos dados. A criptografia do usuário inclui criptografia de imagem e criptografia de disco EVS.

Criptografia de imagem

A criptografia de imagem suporta a criptografia de imagens privadas. Ao criar um ECS, se você selecionar uma imagem criptografada, o disco do sistema do criado ECS será criptografado automaticamente, melhorando a segurança dos dados.

Use um dos seguintes métodos para criar uma imagem criptografada:

  • Use um arquivo de imagem externo.
  • Use um ECS criptografado existente.

Para obter mais informações sobre criptografia de imagens, consulte Criptografando Imagens.

Criptografia do disco EVS

A criptografia de disco EVS suporta a criptografia de disco do sistema e a criptografia de disco de dados.

  • Ao criar um ECS, se você selecionar uma imagem criptografada, o disco do sistema do ECS criado terá a criptografia ativada automaticamente e o modo de criptografia estará em conformidade com o modo de criptografia da imagem.
  • Ao criar um ECS, você pode criptografar discos de dados adicionados.

Para obter mais informações sobre a criptografia de disco EVS, consulte EVS Disk Encryption.

Impacto na AS

Se você usar um ECS criptografado para criar uma configuração de Auto Scaling (AS), o modo de criptografia da configuração de AS criada estará em conformidade com o modo de criptografia do ECS.

Sobre o Keys

A chave necessária para a criptografia depende do Workshop de Criptografia de Dados (DEW). O DEW usa uma chave de criptografia de dados (DEK) para criptografar dados e uma chave mestra do cliente (CMK) para criptografar a DEK.

Figura 1 Processo de encriptação de dados

Tabela 1 descreve as chaves envolvidas no processo de criptografia de dados.

Tabela 1 Chaves

Nome

Descrição

Função

DEK

Uma chave de encriptação que é utilizada para encriptar dados.

Criptografa dados específicos.

CMK

Uma chave de criptografia criada usando DEW para criptografar DEKs.

Uma CMK pode criptografar várias DEKs.

Suporta a desativação de CMK e a exclusão agendada.

CMK padrão

Uma chave mestra gerada automaticamente pelo sistema quando você usa DEW para criptografia pela primeira vez.

A extensão de nome de uma CMK padrão é /default, por exemplo, evs/default.
  • Suporta a visualização de detalhes da CMK padrão no console KMS.
  • Não suporta a desativação de CMK ou a exclusão programada.

Depois que a desativação de uma CMK ou o agendamento da exclusão de uma CMK entrar em vigor, o disco do EVS criptografado usando essa CMK ainda poderá ser usado até que o disco seja desanexado e anexado a um ECS novamente. Durante esse processo, o disco não consegue ser conectado ao ECS porque o CMK não pode ser obtido. Portanto, o disco EVS fica indisponível.

Para obter detalhes sobre o DEW, consulte o Guia do Usuário do Data Encryption Workshop.

Tópico principal: Segurança