外部密钥服务的身份验证 当数据库驱动访问华为云密钥管理服务时，为避免攻击者伪装为密钥服务，在数据库驱动与密钥服务建立https连接的过程中，可通过CA证书验证密钥 服务器 的合法性。为此，需提前配置CA证书，如果未配置，将不会验证密钥服务的身份。配置方法如下： 华为云场景下，需在环境变量中增加如下参数：

查看更多 →

确保 CTS 追踪器转储归档的审计事件到OBS桶时，数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件，详见开启 云审计 服务配置OBS桶。 检测逻辑 无论是否为启用状态，CTS追踪器未配置KMS加密，视为“不合规”。 无论是否为启用状态，CTS追踪器配置KMS加密，视为“合规”。

查看更多 →

tes Secret密钥进行自动加密和解密。详情请参考Kubernetes官方社区介绍。 前提条件 请确保您已经在华为云DEW服务创建了KMS密钥，且密钥CCE集群同处于一个region。关于DEW密钥管理的更多信息和相关操作，请参见创建密钥。关于DEW服务计费的详细说明，请参见计费概述。

查看更多 →

配置生产站点服务器 操作场景 通过管理控制台进行重保护操作前，需要先在待重保护的保护实例中的生产站点服务器上进行配置，配置完成后才能执行重保护操作。 操作步骤 登录待配置的生产站点服务器。 依次执行以下命令，配置生产站点服务器代理客户端的网关地址。 Linux服务器： su - service

查看更多 →

配置服务器组挂载策略 操作场景 该操作指导用户通过服务器组级别的文件夹挂载控制，可以选择挂载共享文件夹，或者个人文件夹，或者都挂载。 前提条件 已创建NAS存储。 已经创建应用服务器组。 操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“服务器组”，进入服务器组列表页面。

查看更多 →

登录 SMS 控制台，在左侧导航树，选择迁移代理配置，进入“迁移代理配置”页面。 单击页面右上角的“创建代理服务器”按钮，进入“创建代理服务器”页面。 在“代理服务器配置”页签，根据表1，配置代理服务器参数。 表1 参数说明 参数 说明 区域 选择代理服务器所在区域。无公网迁移时，需要与目的端服务器在同一区域。 项目

查看更多 →

见《裸金属服务器实例家族》。 添加同VPC的后端服务器 进入后端服务器组列表页面。 在后端服务器组列表页面，单击需要添加后端服务器的后端服务器组名称。 切换到“后端服务器”页签，根据需求选择添加以下同VPC的服务器实例。 云服务器（E CS 或BMS）：选择下方“云服务器”页签，并单

查看更多 →

加密对象时，如图1所示，SSE-KMS采用信封加密机制，KMS云服务托管的用户主密钥并没有直接用来加密数据，系统先是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文，然后使用数据加密密钥来加密OBS对象，加密完成后，OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对

查看更多 →

配置外呼文件服务器 背景信息 在外呼任务下配置外呼数据导入时，支持选择从服务器导入，此时选择并配置当前外呼需要导入的SFTP服务器以及对应的文件信息，同时选择导入文件与数据的映射规则。 支持从服务器导入黑名单。将黑名单模板上传至服务器对应路径下，黑名单导入时填写文件名、文件路径。

查看更多 →

配置远程备份至Syslog服务器 为加强对系统数据的容灾管理， 堡垒机 支持配置日志备份，提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置Syslog服务器参数，将日志远程备份至Syslog服务器。 注意事项 开启远程备份后，系统默认在每天零点备份前一天的系统数据。

查看更多 →

配置容灾站点服务器 操作场景 通过管理控制台进行反向重保护操作前，需要先在待反向重保护的保护实例中的容灾站点服务器上进行配置，配置完成后才能执行反向重保护操作。 操作步骤 登录待配置的容灾站点服务器 运行以下脚本进行网关配置 Linux服务器： sh /opt/cloud/sdrs/register_gateway

查看更多 →

的删除图标进行删除操作。 在“后端服务器组”页签下找到残留的后端服务器组，单击后方的删除图标进行删除操作。 排查项三：集群Secret落盘加密使用的KMS密钥是否有效 当出现集群不可用，您可以查看集群事件确认异常原因。 当集群事件中存在“KMS密钥状态异常”时，您需要确认该集群对

查看更多 →

没有权限操作KMS，该如何处理？ 问题描述 用户在KMS中执行查看密钥信息、创建密钥、导入密钥等操作时，显示无法操作KMS。 可能原因 该用户没有KMS系统策略，导致没有权限操作KMS。 解决方法 检查该用户是否具有KMS系统策略，KMS Administrator和KMS CMKFullAccess权限。

查看更多 →

以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图3所示。 图3 保护服务器HTTPS证书 流程说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的加密数据密钥接口，使用指定的用户主密钥将明文证书加密为密文证书。 用户在服务器上部署密文证书。

查看更多 →

DEK是使用存储在KMS服务器的集群密钥（CEK）保护的对称密钥，数据库服务器仅仅保存其密文。在数据库启动阶段，数据库连接KMS服务器，并且解密DEK密文，从而获取到密钥明文，缓存在内存中。一旦机器下电或者集群关闭，密钥将会被清理。因此，需要保护好集群中的密钥文件，因为一旦丢失，则会造成不可恢复的危害。

查看更多 →

加密功能。 与 弹性云服务器 的关系 弹性 云服务器 （Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理

查看更多 →

ECS服务端加密 简介 KMS支持对ECS进行一键加密，弹性云服务器资源加密包括镜像加密和数据盘加密。 在创建弹性云服务器时，您如果选择加密镜像，弹性云服务器的系统盘会自动开启加密功能，加密方式与镜像保持一致。 在创建弹性云服务器时，您也可以对添加的数据盘进行加密。 镜像加密请参见IMS服务端加密。

查看更多 →

主机的SSH端口号。 数据传输超时时间 是 数据传输过程中连接服务器超时时间，单位毫秒。 默认值为：600000。 KMS密钥 是 通过KMS加解密数据源认证信息，选择KMS中的任一默认密钥或自定义密钥即可。 说明： 第一次通过 DataArts Studio 或KPS使用KMS加密时，会自动生成

查看更多 →

是否可以从KMS中导出用户主密钥？ 不可以。 为确保用户主密钥的安全，用户只能在KMS中创建和使用用户主密钥，无法导出用户主密钥。 父主题： 密钥管理类

查看更多 →

或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤

查看更多 →

高性能弹性文件服务通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-encrypted-check 规则展示名 高性能弹性文件服务通过KMS进行加密 规则描述 高性能弹性文件服务（SFS Turbo）未通过KMS进行加密，视为“不合规”。 标签

查看更多 →