加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。 对于加密镜像创建的弹性云 服务器 ，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 使用KMS加密私有镜像（控制台） 创建加密镜像分为通过加密弹性云服务器创建加密镜像和通过外部镜像文件创建加密镜像。 通过加密弹性云服务器创建加密镜像

查看更多 →

CTS 追踪器通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 cts-kms-encrypted-check 规则展示名 CTS追踪器通过KMS进行加密 规则描述 CTS追踪器未通过KMS进行加密，视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型

查看更多 →

弹性文件服务通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-encrypted-check 规则展示名 弹性文件服务通过KMS进行加密 规则描述 弹性文件服务（SFS Turbo）未通过KMS进行加密，视为“不合规”。 标签 sfsturbo

查看更多 →

入明文一致的内容。 调用API接口加解密 以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图3所示。 图3 保护服务器HTTPS证书 流程说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“encrypt-data”接口，使用指定的用户主密钥将明文证书加密为密文证书。

查看更多 →

备份、快照、镜像加密与数据盘加密之间的关系 购买位置 购买方式 创建的数据盘是否加密 说明 在 云服务器 控制台购买 随云服务器一起购买 是/否 随云服务器一起购买的数据盘，可以选择加密或不加密。具体请参见“ 弹性云服务器 用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一：基础配置”。 在云硬盘控制台单独购买 不选择数据源创建

查看更多 →

E CS 服务端加密 简介 KMS支持对ECS进行一键加密，弹性云服务器资源加密包括镜像加密和数据盘加密。 在创建弹性云服务器时，您如果选择加密镜像，弹性云服务器的系统盘会自动开启加密功能，加密方式与镜像保持一致。 在创建弹性云服务器时，您也可以对添加的数据盘进行加密。 镜像加密请参见IMS服务端加密。

查看更多 →

华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

查看更多 →

加密功能。 与弹性云服务器的关系 弹性云服务器（Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理

查看更多 →

云服务使用KMS加密最佳实践 ECS服务端加密 OBS服务端加密 EVS服务端加密 IMS服务端加密 SFS服务端加密 RDS数据库加密 DDS数据库加密 DWS数据库加密 06 API 通过DEW开放的API和调用示例，您可以使用并管理密钥、密钥对。 API文档 API概览 如何调用API

查看更多 →

当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。

查看更多 →

密钥管理功能特性 密钥管理使用场景 密钥管理如何进行收费？ 创建密钥 用户主密钥有密钥元数据（密钥ID、密钥别名、描述、密钥状态与创建日期）和用于加解密数据的密钥材料。 用户可以使用控制台创建密钥，该密钥会自动生成密钥材料。 当用户希望使用自己的密钥材料，可将密钥材料导入到KMS，由KMS统一管理。

查看更多 →

用户已启用数据加密服务。 加密镜像不能共享给其他用户。 加密镜像不能发布到应用超市。 对于加密镜像创建的云服务器，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。 不能修改加密镜像使用的密钥。 加密镜像使用

查看更多 →

没有权限操作KMS，该如何处理？ 问题描述 用户在KMS中执行查看密钥信息、创建密钥、导入密钥等操作时，显示无法操作KMS。 可能原因 该用户没有KMS系统策略，导致没有权限操作KMS。 解决方法 检查该用户是否具有KMS系统策略，KMS Administrator和KMS CMKFullAccess权限。

查看更多 →

华为云服务如何使用KMS加密数据？ 华为云服务（包含OBS、IMS、EVS、SFS和RDS）使用KMS提供的信封加密方式来保护用户的数据。 信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 用户通过华为云服务加密数据

查看更多 →

管理加密磁盘 加密磁盘和备份之间的关系 磁盘加密功能支持系统盘、数据盘和磁盘备份，具体说明如下： 系统盘的加密依赖于云服务器操作系统的镜像，如果使用加密镜像创建云服务器，则系统盘是加密的，具体请参见“镜像服务用户指南 > 加密镜像” 。 可以新创建加密或者不加密的磁盘，无法更改已有磁盘的加密属性。

查看更多 →

kms:cmk:disable 授予禁用KMS密钥的权限。 write cmk * kms:KeyOrigin kms:KeySpec kms:KeyUsage g:EnterpriseProjectId g:ResourceTag/<tag-key> kms:cmk:get 授予查看KMS密钥的详细信息的权限。

查看更多 →

在OBS服务中需要上传的对象可以通过KMS提供密钥的方式进行服务端加密。 EVS服务端加密 当用户由于业务需求需要对存储在云硬盘的数据进行加密时，EVS服务与KMS集成，通过KMS提供的密钥实现磁盘数据的加密。 IMS服务端加密 用户创建私有镜像时，可以通过选择KMS加密的方式，

查看更多 →

生成主密钥阶段介绍了如何获取如下参数：KMS服务器地址、密钥ID int rc = stmt.executeUpdate("CREATE CLIENT MASTER KEY ImgCMK1 WITH ( KEY_STORE = huawei_kms , KEY_PATH = '{KMS服务器地址}/{密钥ID}'

查看更多 →

据加解密。 加密本地文件流程，如图2所示。 图2 加密本地文件 流程说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的自定义密钥加密明文的数据加密密钥生成的。

查看更多 →

OBS支持通过接口提供KMS托管密钥的服务端加密(SSE-KMS)、OBS根密钥派生密钥的服务端加密（SSE-OBS）和客户提供加密密钥的服务端加密（SSE-C）三种方式，SSE-C方式是指OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。 父主题： 服务端加密

查看更多 →

是否可以从KMS中导出用户主密钥？ 不可以。 为确保用户主密钥的安全，用户只能在KMS中创建和使用用户主密钥，无法导出用户主密钥。 父主题： 密钥管理类

查看更多 →