创建密钥进行云服务加密
密钥分为“对称密钥”和“非对称密钥”。
- 对称密钥使用同一个密钥去加密和解密数据。它的最大优势是加、解密速度快,适合于对大量数据进行加密。
- 非对称密钥使用不同的密钥分别完成加密和解密操作,即一对公钥和私钥互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。适合于实现数字签名验签或者加密传递敏感信息。
操作流程
本章节以“AES-256”对称密钥、“RSA-2048”非对称密钥为示例介绍创建密钥操作以及绑定云服务,流程如图 创建密钥以及云服务加密所示。
准备工作
- 在创建密钥之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证,请忽略此步骤。
- 请确保已为账号拥有KMS CMKFullAccess及以上权限。具体操作请参见创建用户组并授权使用DEW。
表1 KMS系统角色 角色名称
描述
类别
依赖关系
KMS Administrator
密钥管理服务(KMS)管理员,拥有该服务下的所有权限。
系统角色
无
KMS CMKFullAccess
密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。
系统策略
无
KMS CMKReadOnlyAccess
密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。
系统策略
无
创建的密钥只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建或者使用区域性密钥。
- 登录DEW服务控制台。
- 在密钥管理页面,单击界面右上角“创建密钥”。
- 进入“创建密钥”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表2。
图2 创建密钥
表2 必要参数说明 参数
示例
说明
密钥名称
KMS-335c
自定义密钥名称,不可为空。
密钥算法
AES-256
KMS支持的密钥算法类型及算法描述,详见KMS支持的密钥算法类型。
密钥用途
ENCRYPT_DECRYPT
该值配置后不支持修改。
对于AES_256对称密钥,默认值“ENCRYPT_DECRYPT”。
密钥材料来源
密钥管理
KMS支持两种密钥材料来源:
- 密钥管理:由KMS生成密钥材料。
- 外部:支持将本地的密钥材料导入到KMS。
- 单击“确定”,在页面右上角弹出“创建密钥成功”,则说明密钥创建完成。用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”。
创建的密钥只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建或者使用区域性密钥。
- 登录DEW服务控制台。
- 单击界面右上角“创建密钥”。
- 进入“创建密钥”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表3。
图3 创建密钥
表3 必要参数说明 参数
示例
说明
密钥名称
KMS-335c
自定义密钥名称,不可为空。
密钥算法
RSA-2048
KMS支持的密钥算法类型及算法描述,详见KMS支持的密钥算法类型。
密钥用途
SIGN_VERIFY
该值配置后不支持修改。
对于RSA非对称密钥,支持选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”。
密钥材料来源
密钥管理
KMS支持两种密钥材料来源:
- 密钥管理:由KMS生成密钥材料。
- 外部:支持将本地的密钥材料导入到KMS。
- 单击“确定”,在页面右上角弹出“创建密钥成功”,则说明密钥创建完成。用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”。