Criação de uma CMK
Esta seção descreve como criar uma CMK no console do KMS.
As CMKs podem ser categorizadas em chaves simétricas e chaves assimétricas.
Pré-requisitos
Você obteve uma conta e sua senha para fazer logon no console de gerenciamento.
A conta tem permissões KMS CMKFullAccess ou superiores.
Restrições
- Você pode criar até 100 CMKs, excluindo chaves mestras padrão.
- As chaves simétricas são criadas usando o algoritmo de criptografia e descriptografia AES-256. A chave tem 256 bit de comprimento e pode ser usada para criptografar e descriptografar uma pequena quantidade de dados ou chaves de dados.
- Chaves assimétricas são criadas usando algoritmos RSA ou ECC. Chaves RSA podem ser usadas para criptografia, descriptografia, assinatura digital e verificação de assinatura. As chaves ECC podem ser usadas apenas para assinatura digital e verificação de assinatura.
- Os aliases das chaves mestras padrão terminam com /default. Portanto, ao escolher aliases para suas CMKs, não use aliases que terminem com /default.
- DEW não limita o número de vezes que uma CMK pode ser chamada.
Cenários
- Criptografar dados no OBS.
- Criptografar dados no EVS.
- Criptografar dados no IMS.
- Criptografar uma instância de banco de dados RDS.
- Criptografia direta e descriptografia de pequenos volumes de dados
- Criptografia e descriptografia de DEK para aplicações do usuário
- Chaves assimétricas podem ser usadas para assinaturas digitais e verificação de assinatura.
Criar uma CMK
- Faça logon no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou um projeto.
- Clicar em
. Escolha .
- Clique em Create Key no canto superior direito.
- Configurar parâmetros na caixa de diálogo Create Key.
Figura 1 Criação de uma chave
- Alias é o alias da CMK a ser criada.
- Você pode inserir dígitos, letras, sublinhados (_), hifens (-), dois-pontos (:) e barras (/).
- Você pode inserir até 255 caracteres.
- Key Algorithm: selecione um algoritmo de chave. Para obter mais informações, consulte Tabela 1.
Tabela 1 Algoritmos de chave suportados pelo KMS Tipo de chave
Tipo de algoritmo
Especificações de chave
Descrição
Utilização
Chave simétrica
AES
AES_256
Chave simétrica de AES
Criptografa e descriptografa uma pequena quantidade de dados ou chaves de dados.
Chave assimétrica
RSA
- RSA_2048
- RSA_3072
- RSA_4096
Senha assimétrica de RSA
Criptografa e descriptografa uma pequena quantidade de dados ou cria assinaturas digitais.
ECC
- EC_P256
- EC_P384
Curva elíptica recomendada pelo NIST
Assinatura digital
- Usage: selecione SIGN_VERIFY ou ENCRYPT_DECRYPT.
- Para uma chave simétrica, o valor padrão é ENCRYPT_DECRYPT.
- Para chaves assimétricas RSA, selecione ENCRYPT_DECRYPT ou SIGN_VERIFY. O valor padrão é SIGN_VERIFY.
- Para uma chave assimétrica ECC, o valor padrão é SIGN_VERIFY.
O uso da chave só pode ser configurado durante a criação da chave e não pode ser modificado posteriormente.
- (Opcional) Description é a descrição da CMK.
- O parâmetro Enterprise Project precisa ser definido apenas para usuários corporativos.
Se você for um usuário corporativo e tiver criado um projeto corporativo, selecione o projeto corporativo necessário na lista suspensa. O projeto padrão é default.
Se não houver opções do Enterprise Management exibidas, não será necessário configurá-lo.
- Você pode usar projetos corporativos para gerenciar recursos de nuvem e membros do projeto. Para obter mais informações sobre projetos corporativos, consulte Guia de usuário do Enterprise Management.
- Para obter detalhes sobre como ativar a função de projeto da empresa, consulte Ativação da central empresarial
- Alias é o alias da CMK a ser criada.
- (Opcional) Adicione tags à CMK conforme necessário e insira a chave da tag e o valor da tag.
- Quando uma CMK for criada sem nenhuma tag, você poderá adicionar uma tag à CMK mais tarde, conforme necessário. Clique no alias da CMK, clique na guia Tags e clique em Add Tag.
- A mesma tag (incluindo chave de tag e valor de tag) pode ser usada para diferentes CMKs. No entanto, na mesma CMK, uma chave de tag pode ter apenas um valor de tag.
- Um máximo de 20 tags podem ser adicionadas para uma CMK.
- Se desejar excluir uma tag da lista de tags ao adicionar várias tags, você pode clicar em Delete na linha onde a tag a ser adicionada está localizada para excluir a tag.
- Clique em OK. Uma mensagem é exibida no canto superior direito da página, indicando que a chave foi criada com sucesso.
Na lista CMK, você pode exibir as CMKs criadas. O status padrão de uma CMK é Enabled.
Operações relacionadas
- Para obter detalhes sobre como carregar objetos com criptografia do servidor, consulte a seção Carregamento de um arquivo com criptografia do servidor no Guia de operação do console do Object Storage Service.
- Para obter detalhes sobre como criptografar dados em discos do EVS, consulte a seção Compra de um disco do EVS no Guia de usuário do Elastic Volume Service.
- Para obter detalhes sobre como criptografar imagens privadas, consulte a seção Criptografar uma Imagem no Guia de usuário do Image Management Service.
- Para obter detalhes sobre como criptografar discos para uma instância de banco de dados no RDS, consulte a seção "Compra de uma instância" no Guia de usuário do Relational Database Service.
- Para obter detalhes sobre como criar uma DEK e uma DEK sem texto simples, consulte as seções "Criação de uma DEK" e "Criação de uma DEK sem texto não criptografado" na Referência de API do Data Encryption Workshop.
- Para obter detalhes sobre como criptografar e descriptografar uma DEK para um aplicação de usuário, consulte as seções "Criptografia uma DEK" e "Descriptografia de uma DEK" na Conferência de API do Data Encryption Workshop.