云数据库RDS（MySQL、PostgreSQL、SQL Server引擎）加密 文档数据库服务DDS加密 数据仓库 服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明： 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数，为加密系统提供基于硬件真随机数的密钥材料和加密参数

查看更多 →

什么是数据加密密钥？ 数据加密密钥是用于加密数据的密钥。 您可以通过KMS创建、加密和解密数据加密密钥。KMS不会存储、管理、跟踪您的数据加密密钥，也不会使用数据加密密钥执行加解密操作。 创建数据加密密钥 KMS仅支持通过调用API接口的方式创建、加密和解密数据加密密钥。创建数据加密密钥有两种方式，如下：

查看更多 →

用户使用云服务加密数据时，需要指定一个KMS用户主密钥。密钥管理服务会生成一个明文的数据加密密钥（DEK）和一个伴生的密文的数据加密密钥（DEK），明文数据密钥用于服务中存储的数据、文件等内容加密，密文数据加密密钥对明文数据密钥进行加密。完成加密后，被加密的数据文件以及密文数据密钥会存储在对应服务中，如下图所示。

查看更多 →

一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下

查看更多 →

一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下

查看更多 →

用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的自定义密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

查看更多 →

调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

查看更多 →

Master Key，CMK），是用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 用户主密钥分为自定义密钥和默认密钥。 自定义密钥 用户通过密钥管理界面自行创建或导入的密钥。 默认密钥 在用户第一次通

查看更多 →

云数据库RDS（MySQL、PostgreSQL、SQL Server引擎）加密 文档数据库服务DDS加密 数据仓库服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明： 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数，为加密系统提供基于硬件真随机数的密钥材料和加密参数

查看更多 →

用户主密钥 （Customer Master Key，CMK） 用户主密钥是用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 用户主密钥分为自定义密钥和默认密钥。 什么是用户主密钥？ 默认密钥 （Default

查看更多 →

数据库加密与访问控制的密钥包括根密钥（RK）、数据源密钥（DSK）和数据加密密钥（DEK），具体说明如初始化密钥所示。 表1 密钥种类说明 密钥种类 说明 根密钥（RK） 初始化密钥后生成，不对外暴露。 数据源密钥（DSK） 在添加数据源时生成，由根密钥（RK）加密保存。 数据加密密钥（DEK） 在添加加密队列任务时

查看更多 →

云服务器 保持一致。 关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，C

查看更多 →

云 服务器 保持一致。 关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，C

查看更多 →

用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

查看更多 →

云服务器保持一致。 关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，C

查看更多 →

是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文，然后使用数据加密密钥来加密OBS对象，加密完成后，OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对象时，如图2所示，KMS云服务先解密数据加密密钥密文，然后用数据加密密钥来解密对象密文，最终获得对象明文返回给客户。

查看更多 →

是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文，然后使用数据加密密钥来加密OBS对象，加密完成后，OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对象时，如图2所示，KMS云服务先解密数据加密密钥密文，然后用数据加密密钥来解密对象密文，最终获得对象明文返回给客户。

查看更多 →

云服务器保持一致。 关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，C

查看更多 →

是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文，然后使用数据加密密钥来加密OBS对象，加密完成后，OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对象时，如图2所示，KMS云服务先解密数据加密密钥密文，然后用数据加密密钥来解密对象密文，最终获得对象明文返回给客户。

查看更多 →

分享对象时，OBS的SSE-OBS服务端加密方式是否需要授权特殊权限？ 不需要。 SSE-OBS服务端加密方式，即在上传对象或访问对象时，OBS使用OBS根密钥派生的数据加密密钥，对OBS对象进行加解密。 由于加解密时不需要再与KMS交互，因此分享对象时，不需要单独授权特殊权限。 父主题： 服务端加密

查看更多 →

接口，均为HTTPS协议（使用TLS1.2/SSL3.3的安全协议）。 数据存储 用户创建的关键业务数据，均加密保存。不同租户使用单独数据加密密钥。 敏感数据保护 日志、诊断调试信息、告警信息中不包含敏感数据信息。在传输敏感数据时，支持使用安全传输通道，或者对数据进行加密后再传输。

查看更多 →