- Visão geral de serviço
-
Guia de usuário
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Referência de API
- Antes de começar
- Chamada das APIs
- Visão geral de API
-
APIs
- APIs de gerenciamento de chaves
- APIs de gerenciamento de pares de chaves
- APIs de gerenciamento de segredo
- APIs históricas
- Exemplos de aplicação
- Políticas de permissões e ações suportadas
- Apêndice
- Histórico de mudanças
-
Melhores práticas
-
Serviço de gerenciamento de chaves
- Uso do KMS para criptografar dados off-line
- Uso do KMS para criptografar e descriptografar dados para serviços em nuvem
- Uso do SDK de criptografia para criptografar e descriptografar arquivos locais
- Criptografia e descriptografia de dados por meio de DR entre regiões
- Uso do KMS para proteger a integridade dos arquivos
- Serviço de gerenciamento de segredo em nuvem
- Geral
- Histórico de alterações
-
Serviço de gerenciamento de chaves
- Primeiros passos
-
Perguntas frequentes
- Serviço de gerenciamento de chaves
- Serviço de gerenciamento de segredo em nuvem
- Serviço de par de chaves
- HSM dedicado
- Registros de auditoria
- Controle de permissão
-
Perguntas frequentes
-
Relacionado ao KMS
- O que é o serviço de gerenciamento de chaves?
- O que é uma Chave principal do cliente?
- O que é uma chave padrão?
- Quais são as diferenças entre uma chave personalizada e uma chave padrão?
- O que é uma chave de criptografia de dados?
- Por que não consigo excluir uma CMK imediatamente?
- Quais serviços de nuvem podem usar o KMS para criptografia?
- Como os serviços da Huawei Cloud usam o KMS para criptografar dados?
- Quais são os benefícios da criptografia de envelope?
- Existe um limite para o número de chaves personalizadas que posso criar no KMS?
- Posso exportar uma CMK do KMS?
- Posso descriptografar meus dados se eu excluir permanentemente minha chave personalizada?
- Como usar a ferramenta on-line para criptografar ou descriptografar pequenos volumes de dados?
- Posso atualizar CMKs criadas por materiais de chave gerados por KMS?
- Quando devo usar uma CMK criada com materiais de chaves importados?
- O que devo fazer quando excluir acidentalmente materiais de chaves?
- Como as chaves padrão são geradas?
- O que devo fazer se não tiver as permissões para realizar operações no KMS?
- Por que não posso encapsular chaves assimétricas usando -id-aes256-wrap-pad no OpenSSL?
- Algoritmos de chave suportados pelo KMS
- O que devo fazer se o KMS não for solicitado e o código de erro 401 for exibido?
- Qual é a relação entre o texto cifrado e o texto não criptografado retornado pela API de dados de criptografia?
- Como o KMS protege minhas chaves?
- Como usar uma chave assimétrica para verificar o resultado da assinatura de um par de chaves públicas?
- Uma chave importada suporta rotação?
- Relacionado a credenciais
-
Relacionado ao KPS
- Como criar um par de chaves?
- O que são um par de chaves privadas e um par de chaves de contas?
- Como lidar com uma falha de importação de um par de chaves criado usando o PuTTYgen?
- O que devo fazer quando não consigo importar um par de chaves usando o Internet Explorer 9?
- Como fazer logon em um ECS de Linux com uma chave privada?
- Como usar uma chave privada para obter a senha para fazer logon em um ECS do Windows?
- Como lidar com a falha na vinculação de um par de chaves?
- Como lidar com a falha na substituição de um par de chaves?
- Como lidar com a falha na redefinição de um par de chaves?
- Como lidar com a falha na desvinculação de um par de chaves?
- Preciso reiniciar os servidores depois de substituir seu par de chaves?
- Como ativar o modo de logon com senha para um ECS?
- Como lidar com a falha no logon no ECS após desvincular o par de chaves?
- O que devo fazer se minha chave privada for perdida?
- Como converter o formato de um arquivo de chave privada?
- Posso alterar o par de chaves de um servidor?
- Um par de chaves pode ser compartilhado por vários usuários?
- Como obter o arquivo de chave pública ou privada de um par de chaves?
- O que posso fazer se um erro for relatado quando uma chave de conta for criada ou atualizada pela primeira vez?
- A cota de par de chaves de conta será ocupada depois que um par de chaves privadas for atualizado para um par de chaves de conta?
-
Relacionado ao HSM dedicado
- O que é o HSM dedicado?
- Como o HSM dedicado garante a segurança para a geração de chaves?
- O pessoal da sala de equipamentos tem a função de superadministrador para roubar informações usando um UKey privilegiado?
- Quais HSMs são usados para HSM dedicado?
- Quais APIs o HSM dedicado suporta?
- Como ativar o acesso público a uma instância do HSM dedicado?
- Preços
- Geral
-
Relacionado ao KMS
- No momento, o conteúdo não está disponível no seu idioma selecionado. Consulte a versão em inglês.
- What's New
- Function Overview
- Billing
- SDK Reference
- Videos
-
More Documents
- User Guide (ME-Abu Dhabi Region)
- User Guide (Paris and Amsterdam Regions)
-
User Guide (Kuala Lumpur Region)
- Service Overview
-
User Guide
- Key Management Service
- Cloud Secret Management Service
- Auditing Logs
- Permission Control
-
FAQs
-
KMS Related
- What Is Key Management Service?
- What Is a Customer Master Key?
- What Is a Default Key?
- What Are the Differences Between a Custom Key and a Default Key?
- What Is a Data Encryption Key?
- Why Cannot I Delete a CMK Immediately?
- Which Cloud Services Can Use KMS for Encryption?
- How Do Cloud Services Use KMS to Encrypt Data?
- What Are the Benefits of Envelope Encryption?
- Is There a Limit on the Number of Custom Keys That I Can Create on KMS?
- Can I Export a CMK from KMS?
- Can I Decrypt My Data if I Permanently Delete My Custom Key?
- How Do I Use the Online Tool to Encrypt or Decrypt Small Volumes of Data?
- Can I Update CMKs Created by KMS-Generated Key Materials?
- When Should I Use a CMK Created with Imported Key Materials?
- What Types of Keys Can I Import?
- What Should I Do When I Accidentally Delete Key Materials?
- How Are Default Keys Generated?
- What Should I Do If I Do Not Have the Permissions to Perform Operations on KMS?
- Why Can't I Wrap Asymmetric Keys by Using -id-aes256-wrap-pad in OpenSSL?
- Key Algorithms Supported by KMS
- What Should I Do If KMS Failed to Be Requested and Error Code 401 Is Displayed?
- What Is the Relationship Between the Ciphertext and Plaintext Returned by the encrypt-data API?
- How Does KMS Protect My Keys?
- Credential Related
-
KMS Related
- Change History
-
API Reference (ME-Abu Dhabi Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Querying CMK Instances
- Querying CMK Tags
- Querying Project Tags
- Adding or Deleting CMK Tags in Batches
- Adding a CMK Tag
- Deleting a CMK Tag
- Permissions Policies and Supported Actions
- Appendix
- Change History
-
API Reference (Paris and Amsterdam Regions)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
-
API Reference (Kuala Lumpur Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
Copiado.
Criação de uma chave
Esta seção descreve como criar uma chave personalizada no console do KMS.
As chaves personalizadas podem ser categorizadas em chaves simétricas e chaves assimétricas.
Pré-requisitos
A conta tem permissões KMS CMKFullAccess ou superiores.
Restrições
- Você pode criar até 20 chaves personalizadas, excluindo as chaves padrão. As chaves de réplica ocupam a cota de chave personalizada na região.
- As chaves simétricas são criadas usando a chave AES. A chave AES-256 pode ser usada para criptografar e descriptografar uma pequena quantidade de dados ou chaves de dados. A chave HMAC é usada para gerar e verificar códigos de autenticação de mensagens.
- Chaves assimétricas são criadas usando algoritmos RSA ou ECC. Chaves RSA podem ser usadas para criptografia, descriptografia, assinatura digital e verificação de assinatura. As chaves ECC podem ser usadas apenas para assinatura digital e verificação de assinatura.
- Os aliases das chaves padrão terminam com /default. Ao escolher aliases para suas chaves personalizadas, não use aliases terminados com /default.
- As chaves do DEW podem ser chamadas por meio de APIs para 20.000 vezes gratuitamente por mês.
Cenários
- Criptografar dados no OBS
- Criptografar dados no EVS
- Criptografar dados no IMS
- Criptografar uma instância de banco de dados RDS
- Use chaves personalizadas para criptografar e descriptografar diretamente pequenos volumes de dados.
- Criptografia e descriptografia de DEK para aplicações do usuário
- Geração e verificação do código de autenticação de mensagens
- Chaves assimétricas podem ser usadas para assinaturas digitais e verificação de assinatura.
Criação de uma chave
- Faça logon no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
- Clique em
. Escolha Security & Compliance > Data Encryption Workshop.
- Clique em Create Bucket no canto superior direito.
- Configure parâmetros na caixa de diálogo Create Key.
Figura 1 Criação de uma chave
- Alias é o alias da chave a ser criada.
- Você pode inserir dígitos, letras, sublinhados (_), hifens (-), dois-pontos (:) e barras (/).
- Você pode inserir até 255 caracteres.
- Key Algorithm: selecione um algoritmo de chave. Para obter mais informações, consulte Tabela 1.
Tabela 1 Algoritmos de chave suportados pelo KMS Tipo de chave
Tipo de algoritmo
Especificações da chave
Descrição
Uso
Chave simétrica
AES
AES_256
Chave simétrica de AES
Criptografa e descriptografa uma pequena quantidade de dados ou chaves de dados.
Chave simétrica
AES
- HMAC_256
- HMAC_384
- HMAC_512
Chave simétrica de HMAC
Gera e verifica um código de autenticação de mensagem
Chave simétrica
SM3
HMAC_SM3
Chave simétrica de SM3
Gera e verifica um código de autenticação de mensagem
Chave assimétrica
RSA
- RSA_2048
- RSA_3072
- RSA_4096
Senha assimétrica de RSA
Criptografa e descriptografa uma pequena quantidade de dados ou cria assinaturas digitais.
ECC
- EC_P256
- EC_P384
Curva elíptica recomendada pelo NIST
Assinatura digital
- Usage: selecione SIGN_VERIFY, ENCRYPT_DECRYPT ou GENERATE_VERIFY_MAC.
- Para uma chave simétrica AES_256, o valor padrão é ENCRYPT_DECRYPT.
- Para uma chave simétrica HMAC, o valor padrão é GENERATE_VERIFY_MAC.
- Para chaves assimétricas RSA, selecione ENCRYPT_DECRYPT ou SIGN_VERIFY. O valor padrão é SIGN_VERIFY.
- Para uma chave assimétrica ECC, o valor padrão é SIGN_VERIFY.
O uso da chave só pode ser configurado durante a criação da chave e não pode ser modificado posteriormente.
- (Opcional) Description é a descrição da chave personalizada.
- O parâmetro Enterprise Project precisa ser definido apenas para usuários empresariais.
Se você for um usuário empresarial e tiver criado um projeto empresarial, selecione o projeto empresarial necessário na lista suspensa. O projeto padrão é default.
Se não houver opções de Enterprise Management exibidas, não será necessário configurá-lo.
- Você pode usar projetos empresariais para gerenciar recursos de nuvem e membros do projeto. Para obter mais informações sobre projetos empresariais, consulte O que é o serviço de gerenciamento de projetos empresariais?
- Para obter detalhes sobre como ativar a função do projeto empresarial, consulte Ativação da central empresarial.
- Alias é o alias da chave a ser criada.
- (Opcional) Adicione tags à chave personalizada conforme necessário e insira a chave da tag e o valor da tag.
- Depois de criar uma CMK, você pode clicar no alias da CMK para acessar a página de detalhes da CMK e adicionar uma tag à CMK.
- A mesma tag (incluindo chave de tag e valor de tag) pode ser usada para diferentes chaves personalizadas. No entanto, sob a mesma chave personalizada, uma chave de tag pode ter apenas um valor de tag.
- Um máximo de 20 tags podem ser adicionadas para uma chave personalizada.
- Se desejar excluir uma tag da lista de tags ao adicionar várias tags, você pode clicar em Delete na linha onde a tag a ser adicionada está localizada para excluir a tag.
- Clique em OK. Uma mensagem é exibida no canto superior direito da página, indicando que a chave foi criada com sucesso.
Na lista de chaves, você pode exibir a chave criada. O status padrão de uma chave é Enabled.
Operações relacionadas
- Para obter detalhes sobre como fazer upload de objetos com criptografia no lado do servidor, consulte a seção "Fazer upload de um arquivo com criptografia no lado do servidor" no Guia de usuário do Object Storage Service.
- Para obter detalhes sobre como criptografar dados em discos do EVS, consulte a seção Compra de um disco do EVS no Guia de usuário do Elastic Volume Service.
- Para obter detalhes sobre como criptografar imagens privadas, consulte a seção "Criptografia de uma imagem" no Guia de usuário do Image Management Service.
- Para obter detalhes sobre como criptografar discos para uma instância de banco de dados no RDS, consulte a seção "Compra de uma instância" no Guia de usuário do Relational Database Service.
- Para obter detalhes sobre como criar uma DEK e uma DEK sem texto não criptografado, consulte as seções "Criação de uma DEK" e "Criação de uma DEK sem texto não criptografado" na Referência de API do Data Encryption Workshop.
- Para obter detalhes sobre como criptografar e descriptografar uma DEK para uma aplicação de usuário, consulte as seções "Criptografia de uma DEK" e "Descriptografia de uma DEK" na Referência de API do Data Encryption Workshop.