文档首页/ 数据加密服务 DEW/ 快速入门/ 创建密钥进行云服务加密
更新时间:2025-08-28 GMT+08:00
分享

创建密钥进行云服务加密

密钥分为“对称密钥”“非对称密钥”

  • 对称密钥使用同一个密钥去加密和解密数据。它的最大优势是加、解密速度快,适合于对大量数据进行加密。
  • 非对称密钥使用不同的密钥分别完成加密和解密操作,即一对公钥和私钥互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。适合于实现数字签名验签或者加密传递敏感信息。

操作流程

本章节以“AES-256”对称密钥、“RSA-2048”非对称密钥为示例介绍创建密钥操作以及绑定云服务,流程如图 创建密钥以及云服务加密所示。

图1 创建密钥以及云服务加密

操作步骤

说明

准备工作

注册华为账号、开通华为云,为账户充值、赋予KMS权限。

步骤一:创建密钥

创建密钥,选择密钥算法类型等。

步骤二:云服务加密

创建密钥后,在云服务实例创建或使用场景选择目标密钥与实例绑定,实现加密。

准备工作

  1. 在创建密钥之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请确保已为账号拥有KMS CMKFullAccess及以上权限。具体操作请参见创建用户组并授权使用DEW
    表1 KMS系统角色

    角色名称

    描述

    类别

    依赖关系

    KMS Administrator

    密钥管理服务(KMS)管理员,拥有该服务下的所有权限。

    系统角色

    KMS CMKFullAccess

    密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。

    系统策略

    KMS CMKReadOnlyAccess

    密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。

    系统策略

步骤一:创建密钥

以创建“AES-256”对称密钥、“RSA-2048”非对称密钥为例进行介绍。

创建的密钥只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建或者使用区域性密钥。

  1. 登录DEW服务控制台
  2. 在密钥管理页面,单击界面右上角“创建密钥”
  3. 进入“创建密钥”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表2
    图2 创建密钥

    表2 必要参数说明

    参数

    示例

    说明

    密钥名称

    KMS-335c

    自定义密钥名称,不可为空。

    密钥算法

    AES-256

    KMS支持的密钥算法类型及算法描述,详见KMS支持的密钥算法类型

    密钥用途

    ENCRYPT_DECRYPT

    该值配置后不支持修改。

    对于AES_256对称密钥,默认值“ENCRYPT_DECRYPT”

    密钥材料来源

    密钥管理

    KMS支持两种密钥材料来源:

    • 密钥管理:由KMS生成密钥材料。
    • 外部:支持将本地的密钥材料导入到KMS。
  4. 单击“确定”,在页面右上角弹出“创建密钥成功”,则说明密钥创建完成。用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”

创建的密钥只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建或者使用区域性密钥。

  1. 登录DEW服务控制台
  2. 单击界面右上角“创建密钥”
  3. 进入“创建密钥”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表3
    图3 创建密钥

    表3 必要参数说明

    参数

    示例

    说明

    密钥名称

    KMS-335c

    自定义密钥名称,不可为空。

    密钥算法

    RSA-2048

    KMS支持的密钥算法类型及算法描述,详见KMS支持的密钥算法类型

    密钥用途

    SIGN_VERIFY

    该值配置后不支持修改。

    对于RSA非对称密钥,支持选择“ENCRYPT_DECRYPT”“SIGN_VERIFY”

    密钥材料来源

    密钥管理

    KMS支持两种密钥材料来源:

    • 密钥管理:由KMS生成密钥材料。
    • 外部:支持将本地的密钥材料导入到KMS。
  4. 单击“确定”,在页面右上角弹出“创建密钥成功”,则说明密钥创建完成。用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”

步骤二:云服务加密

当前KMS服务对接OBS、EVS等服务,实现实例加密,具体原理介绍以及操作步骤可参见以下示例。

相关文档