使用场景
密钥管理服务为对象存储(Object Storage Service,OBS)、云硬盘(Elastic Volume Service,EVS)、镜像服务(Image Management Service,IMS)、关系型数据库(Relational Database Service,RDS)和用户的应用程序提供用户主密钥管理控制能力,应用于数据加解密场景。
- 密钥管理服务与对象存储服务配合使用,应用于对象存储服务中对象的服务端加密场景。
对象存储服务是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。OBS适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。对象存储服务的更多信息请参见《对象存储服务用户指南》。
- 密钥管理服务与云硬盘配合使用,应用于云硬盘中的数据加密场景。
云硬盘是一种基于分布式架构的、可弹性扩展的虚拟块存储设备。用户可在线进行操作,使用方式与传统服务器硬盘完全一致。同时,云硬盘具有更高的数据可靠性,更高的I/O吞吐能力和更加简单易用等特点,适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。云硬盘的更多信息请参见《云硬盘用户指南》。
- 密钥管理服务与镜像服务配合使用,应用于加密私有镜像的创建场景。
镜像服务提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请弹性云服务器。同时,用户还能通过已有的云服务器或使用外部镜像文件创建私有镜像。镜像服务的更多信息请参见《镜像服务用户指南》。
- 密钥管理服务与关系型数据库配合使用,应用于关系型数据库中数据库实例的磁盘加密场景。
关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库的更多信息请参见《关系型数据库用户指南》。
- 密钥管理服务与用户的应用程序配合使用。
用户的应用程序需要对明文数据进行加密时,可通过调用密钥管理服务的接口来产生数据加密密钥,再使用数据加密密钥将明文数据进行加密,得到密文并进行存储。同时,用户的应用程序可通过调用密钥管理服务的接口来创建对应用户主密钥,对数据加密密钥进行加密保护,并对密文的数据加密密钥进行存储。信封加密基本原理如图1所示。
为确保用户加密数据的安全,密钥管理服务不保存明文或密文的数据加密密钥,通过对用户主密钥的管理,以确保用户能安全获取和使用数据加密密钥。
