文档首页/ 数据加密服务 DEW/ 功能总览
功能总览

功能总览

  • 密钥管理服务

    • 密钥管理,即密钥管理服务(Key Management Service,KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。

      KMS通过使用硬件安全模块HSM(Hardware Security Module)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。

      KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。

      发布区域:全部

      密钥管理功能特性

      密钥管理使用场景

      密钥管理如何进行收费?

    • 创建密钥

      • 用户主密钥有密钥元数据(密钥ID、密钥别名、描述、密钥状态与创建日期)和用于加解密数据的密钥材料。

        用户可以使用控制台创建密钥,该密钥会自动生成密钥材料。

        当用户希望使用自己的密钥材料,可将密钥材料导入到KMS,由KMS统一管理。

        发布区域:全部

        创建密钥

        导入密钥材料

    • 密钥全生命周期管理

    • 数据加解密

      • 当有少量数据(例如:口令、证书、电话号码等)需要加解密时,用户可以通过密钥管理服务(Key Management Service,KMS)界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。

        当有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。

        发布区域:全部

        如何加解密小量数据?

        如何加解密大量数据?

    • 密钥轮换

      • 广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,建议您定期轮换密钥,更改原密钥的密钥材料。

        定期轮换密钥可以减少每个密钥加密的数据量、增强应对安全事件的能力、加强对数据的隔离能力,从而增加加密密钥使用安全性。

        开通密钥轮转后,会收取相应的密钥存储费用,每个轮转的版本将作为一个独立的主密钥资源进行计算。

        发布区域:全部

        开启密钥轮换

        开通密钥轮转如何收费?

    • 专属密钥库

      • KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。

        发布区域:全部

        创建密钥库

        禁用密钥库

    • 签名验签

      • 签名验签是一种加密机制,是保证数据传输安全性以及完整性的重要手段。通过签名验签的方式,可以防止信息在传输过程中被篡改或伪造。

        发布区域:全部

        签名数据

        验证签名

    • 密钥授权

      • 用户可以为其他IAM用户或账号创建授权,授予其抵用自身的自定义密钥的权限。被授权用户可以通过调用API接口,即可使用被授权的权限。

        以下两种情况下,授权用户可以通过密钥管理界面撤销授权:

        • 当被授权用户不再使用授权用户的自定义密钥时,被授权用户可告知授权用户撤销授权,或者通过API接口直接退役授权。
        • 当授权用户想收回自定义密钥的操作权限时,授权用户可强制撤销授权。

        发布区域:全部

        创建授权

        撤销授权

    • 硬件真随机数

      • 真随机数生成器是一种通过物理过程而不是计算机程序来生成随机数字的设备,用以生成完全不可预测的随机数。通过API调用生成8~8192bit范围内的随机数。

        发布区域:全部

        创建随机数

  • 凭据管理服务

    • 凭据管理,即云凭据管理服务(Cloud Secret Management Service,CSMS),是一种安全、可靠、简单易用的凭据托管服务。用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期的统一管理,有效避免程序硬编码或明文配置等问题导致的敏感信息泄露以及权限失控带来的业务风险。

      发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

      凭据管理使用场景

      凭据管理计费

    • 创建凭据

      • 目前控制台支持创建通用凭据与RDS凭据。

        通用凭据支持在各场景下进行自定义凭据的全生命周期管理,用户可以通过凭据管理服务实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储,且支持多个版本管理,方便用户实现凭据轮转。

        数据库凭据泄露是导致数据泄露的主要途径。针对华为云关系型数据库RDS,凭据管理服务支持托管RDS凭据,能够全自动的定期轮转与手动立即轮转,满足各类数据库凭据管理场景,降低业务数据面临的安全风险。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        创建通用凭据

        创建轮转凭据

    • 凭据轮转

      • 为提升系统安全性,需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新,多应用系统凭据更新容易遗漏,可能带来业务中断风险。

        通过凭据管理服务,提供凭据多版本管理,应用节点通过API/SDK调用实现应用层凭据安全轮换。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        轮转凭据版本

        管理版本状态

    • 凭据事件通知

      • 用户为凭据对象订阅关联事件后,当事件为启用状态且基础事件类型在凭据对象上触发时,通过消息通知服务(SMN)对应事件通知会发送至事件指定的通知主题上。

        基础事件类型包括:凭据新版本创建,凭据版本过期,凭据删除,凭据轮转。配置事件通知后,用户可以通过函数工作流服务(FunctionGraph)中基于事件驱动的托管函数来自动化轮转凭据。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        创建事件

  • 密钥对管理服务

    • 密钥对管理,即密钥对管理服务(Key Pair Service,KPS),是一种安全、可靠、简单易用的SSH密钥对托管服务,帮助用户集中管理SSH密钥对,保护SSH密钥对的安全。

      KPS是利用HSM产生的硬件真随机数来生成密钥对,并提供了一套完善和可靠的密钥对的管理方案,帮助用户轻松创建、导入和管理SSH密钥对。生成的SSH密钥对的公钥文件均保存在KPS中,私钥文件由用户自己下载保存在本地,从而保障了SSH密钥对的私有性和安全性。

      发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

      密钥对管理使用场景

      使用私钥登录Linux弹性云服务器

    • 创建密钥对

      • 为安全起见,用户登录弹性云服务器时建议使用密钥对方式进行身份认证。用户可以新建一个密钥对,在登录弹性云服务器时进行鉴权。

        若用户需要使用自己的密钥对时(例如,使用PuTTYgen工具创建的密钥对),用户可以把密钥对的公钥文件导入管理控制台,使用对应的私钥远程登录弹性云服务器。用户也可根据需要将私钥托管在华为云中,由华为云统一管理。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        创建密钥对

        导入密钥对

        升级密钥对

    • 使用密钥对

      • 通过使用密钥对的方式,可以实现无需密码登录到Linux云服务器,可以有效防止密码被拦截、破解造成的帐户密码泄露,从而提高Linux云服务器的安全性。

        用户在购买弹性云服务器(Elastic Cloud Server ,简称ECS)时,选择KPS提供的SSH密钥对对登录弹性云服务器的用户进行身份认证,或者通过提供的密钥对获取Windows操作系统弹性云服务器的登录密码。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        绑定密钥对

        重置密钥对

        替换密钥对

        解绑密钥对

    • 使用私钥

      • 为了方便用户管理本地的私钥,用户可将私钥导入管理控制台,由KPS统一管理。导入的私钥由KMS提供的密钥加密,保证用户私钥的存储、导入或者导出安全。当用户需要使用私钥时,可从管理控制台多次下载,为了保证私钥的安全,请妥善保管下载的私钥。

        发布区域:中国-香港、亚太-曼谷、亚太-新加坡、亚太-雅加达、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

        导入私钥

        导出私钥

        清除私钥

        使用私钥登录Linux ECS

        使用私钥获取Windows ECS的登录密码

  • 专属加密服务

    • 专属加密(Dedicated Hardware Security Module,Dedicated HSM)是一种云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。

      Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件,帮助您保护弹性云服务器上数据的安全性与完整性,满足监管合规要求。同时,您能够对专属加密实例生成的密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

      发布区域:中国-香港、亚太-曼谷、亚太-新加坡、拉美-墨西哥城一、拉美-圣保罗一、拉美-圣地亚哥

      专属加密使用场景

      专属加密计费

      购买专属加密实例

    • 专属加密集群

      • 用户可以通过专属加密集群随时对密钥进行全生命周期管理。KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。

        发布区域:全部

        创建专属加密集群

        激活集群

  • 审计日志

    • 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等应用场景。

      开启了云审计服务后,系统开始记录数据加密服务相关的操作。云审计服务管理控制台保存最近7天的操作记录。

      发布区域:全部

      支持云审计的操作列表

      使用CTS查询操作事件

  • 告警监控

    • 通过设置DEW告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解DEW使用状况,从而起到预警作用。

      发布区域:全部

      DEW监控指标说明

      设置告警规则

  • 权限管理

    • 如果您需要对您所拥有的DEW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以:

      • 根据企业的业务组织,在您的华为帐号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用DEW资源。
      • 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
      • 将DEW资源委托给更专业、高效的其他华为帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。

      发布区域:全部

      创建用户并授权使用DEW

      DEW自定义策略

  • API

    • DEW提供了REST(Representational State Transfer)风格API,支持您通过HTTP/HTTPS请求调用,实现创建、查看、修改、删除密钥等操作。

      发布区域:全部

      如何调用API

      API概览

  • SDK

    • DEW提供多种开发语言的SDK,帮助您轻松实现二次开发。目前支持:Java、Python、C、Go、.NET。

      发布区域:全部

      DEW SDK参考文档