华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

查看更多 →

如果想使用非加密镜像创建加密系统盘，可以先把非加密镜像复制为加密镜像，然后在创建云 服务器 时选择该加密镜像，即可创建加密系统盘。具体参见复制镜像。 数据盘加密场景 数据盘可以跟随云服务器一起购买，也可以单独购买。数据盘是否加密主要涉及涉及如下场景： 表3 备份、快照、镜像加密与数据盘加密之间的关系

查看更多 →

配置生产站点服务器 操作场景 通过管理控制台进行重保护操作前，需要先在待重保护的保护实例中的生产站点服务器上进行配置，配置完成后才能执行重保护操作。 操作步骤 登录待配置的生产站点服务器。 依次执行以下命令，配置生产站点服务器代理客户端的网关地址。 Linux服务器： su - service

查看更多 →

登录 SMS 控制台，在左侧导航树，选择迁移代理配置，进入“迁移代理配置”页面。 单击页面右上角的“创建代理服务器”按钮，进入“创建代理服务器”页面。 在“代理服务器配置”页签，根据表1，配置代理服务器参数。 表1 参数说明 参数 说明 区域 选择代理服务器所在区域。无公网迁移时，需要与目的端服务器在同一区域。 项目

查看更多 →

配置服务器组挂载策略 操作场景 该操作指导用户通过服务器组级别的文件夹挂载控制，可以选择挂载共享文件夹，或者个人文件夹，或者都挂载。 前提条件 已创建NAS存储。 已经创建应用服务器组。 操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“服务器组”，进入服务器组列表页面。

查看更多 →

购买相同配置云服务器 操作场景 对于已购买成功的弹性云服务器，如需再次购买相同配置的，建议您使用“购买相同配置”功能，快速购买同一配置的弹性云服务器，节省时间。 使用须知 超大内存型弹性云服务器，暂不支持使用“购买相同配置”功能。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。

查看更多 →

n连接参数。 外部密钥服务的身份验证 当数据库驱动访问华为云密钥管理服务时，为避免攻击者伪装为密钥服务，在数据库驱动与密钥服务建立https连接的过程中，可通过CA证书验证密钥服务器的合法性。为此，需提前配置CA证书，如果未配置，将不会验证密钥服务的身份。配置方法如下： 华为云场景下，需在环境变量中增加如下参数：

查看更多 →

云服务使用KMS加密最佳实践 E CS 服务端加密 OBS服务端加密 EVS服务端加密 IMS服务端加密 SFS服务端加密 RDS数据库加密 DDS数据库加密 DWS数据库加密 06 API 通过DEW开放的API和调用示例，您可以使用并管理密钥、密钥对。 API文档 API概览 如何调用API

查看更多 →

系统配置 本节介绍如何修改OBS Browser的各项配置。 操作步骤 登录OBS Browser。 在OBS Browser右上角，单击，并选择“系统配置”，系统弹出“系统配置”对话框，如图1所示。 图1 系统配置 单击“基本配置”，根据需要修改基本配置参数。 各参数含义如表1所示。

查看更多 →

kms:cmk:disable 授予禁用KMS密钥的权限。 write cmk * kms:KeyOrigin kms:KeySpec kms:KeyUsage g:EnterpriseProjectId g:ResourceTag/<tag-key> kms:cmk:get 授予查看KMS密钥的详细信息的权限。

查看更多 →

创建的系统盘是否加密 说明 是（密钥A） 是（密钥B） 是（密钥A） 购买云服务器时，系统盘加密请参见自定义购买弹性云服务器。 关于镜像加密，具体请参见加密镜像。 是（密钥A） 否 是（密钥A） 购买云服务器时，系统盘加密请参见自定义购买弹性云服务器。 否 是（密钥B） 是（密钥B） 关于镜像加密，具体请参见加密镜像。

查看更多 →

用户通过华为云服务加密数据时，需要指定一个KMS用户主密钥。华为云服务会生成一个明文的数据加密密钥和一个密文的数据加密密钥，其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。华为云服务使用明文的数据加密密钥来加密数据，然后将加密后的密文数据与密文的数据加密密钥一同存储在华为云服务中，如下图所示。

查看更多 →

n连接参数。 外部密钥服务的身份验证 当数据库驱动访问华为云密钥管理服务时，为避免攻击者伪装为密钥服务，在数据库驱动与密钥服务建立https连接的过程中，可通过CA证书验证密钥服务器的合法性。为此，需提前配置CA证书，如果未配置，将不会验证密钥服务的身份。配置方法如下： 华为云场景下，需在环境变量中增加如下参数：

查看更多 →

用户已启用数据加密服务。 加密镜像不能共享给其他用户。 加密镜像不能发布到应用超市。 对于加密镜像创建的云服务器，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。 不能修改加密镜像使用的密钥。 加密镜像使用

查看更多 →

没有权限操作KMS，该如何处理？ 问题描述 用户在KMS中执行查看密钥信息、创建密钥、导入密钥等操作时，显示无法操作KMS。 可能原因 该用户没有KMS系统策略，导致没有权限操作KMS。 解决方法 检查该用户是否具有KMS系统策略，KMS Administrator和KMS CMKFullAccess权限。

查看更多 →

，单击集群名称。 选择“组件管理 > Hive > 服务配置”。 将“基础配置”切换为“全部配置”，搜索并配置如下参数： 表1 数据加密参数 参数 取值 说明 fs.obs.server-side-encryption-type SSE-KMS SSE-KMS：表示使用KMS密钥的加解密方式。

查看更多 →

服务，帮助用户集中管理密钥，保护密钥安全。KMS提供信封加密能力，无需通过网络传输大量数据即可完成数据加解密。 KMS可以对OBS桶内对象进行全量加密或者部分加密，在OBS服务使用KMS加密过程中，信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性，在对象上传和下载过程中，保证信息安全：

查看更多 →

Browser+方式配置SSE-KMS加密。 客户提供加密密钥的服务端加密（SSE-C） OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。 您可以通过API、SDK方式配置SSE-C加密。 OBS根密钥派生密钥的服务端加密（SSE-OBS） OBS使用OBS根密钥派生的密钥对用户数据进行服务端加密。

查看更多 →

配置DWS数据连接 表1 DWS数据连接 参数 是否必选 说明 数据连接类型 是 DWS连接固定选择为数据仓库服务（DWS）。 数据连接名称 是 数据连接的名称，只能包含字母、数字、下划线和中划线，且长度不超过100个字符。 标签 否 标识数据连接的属性。设置标签后，便于统一管理。

查看更多 →

单击页面左上角按钮，单击“我的服务 > 云管理网络”，在快捷菜单栏选择“ > 高级配置”。 在高级配置界面选择“网络配置 > 站点配置 > 站点配置”，在左上角“站点”下拉框中选择“test_native_ac”。 配置员工无线认证模板。 在站点配置左侧导航中选择“交换机 > 认证”。选择“无线认证”页签，单击“创建”，根据表

查看更多 →

选择“系统 > 数据维护 > 日志备份”，进入系统日志备份配置管理页面。 图1 日志备份 在“远程备份至FTP/SFTP服务器”区域，单击“编辑”，弹出备份至FTP/SFTP服务器配置窗口，配置服务器相关参数。 表1 配置FTP或SFTP服务器远程备份 参数 说明 状态 选择开启或关闭备份至FTP或SFTP服务器，默认。

查看更多 →