更换密钥的加密方式

服务端加密概述

如果您的业务对数据存储的安全性和合规性有较高要求，可使用AgentArts提供的服务端加密功能，对上传到AgentArts存储的数据进行加密保护。服务器端加密将对存储在AgentArts中的静态数据进行加密，即存储介质中存的是数据密文，防止存储介质（如硬盘等）被物理窃取或未授权访问时的数据泄露。在访问对象时，由AgentArts服务端对文件进行解密，然后返回解密后的数据。

AgentArts提供AgentArts加密和KMS加密方式。

• AgentArts加密：免费，由AgentArts给每个租户生成一个租户主密钥，使用租户主密钥派生DEK。租户主密钥可以轮转，相对于KMS的用户主密钥。
• KMS加密：使用用户选择的密钥派生DEK。

在AgentArts加密和KMS加密方式下，均对每个租户创建主密钥，主密钥可以版本化管理，加密时使用最新主密钥，解密时按在密文中记录的主密钥ID进行解密。可以强制下线一个主密钥，此时所有使用此主密钥加密的密钥均不能被自动解密，用于紧急情况下临时止损。

• AgentArts加密密钥（TEK）：用于加密REK的密钥，可以在内存中缓存，相对数量较少，可以减少KMS使用次数。
• KMS主密钥（KMK）：用户选择的KMS主密钥，可以是默认密钥，也可以是自定义密钥。

图1 加密架构图

更换密钥的加密方式

这里以更换模型供应商密钥的加密方式为例。

1. 执行1~3，在“新建模型供应商”页面，鼠标移动至“选择认证方式”右侧的上，单击“更换加密方式”。
   • admin用户组中的用户：可以直接修改加密方式。
   • 非admin用户组中的用户：请联系租户修改加密方式或联系租户添加用户为admin用户组中的用户。

2. 在“加密方式”页面，参数配置请参考表1，单击“确定”。即可更换密钥的加密方式。
   图2 更换加密方式
   

   表1 加密方式参数说明

   参数		说明
   加密方式	KMS加密	使用用户选择的密钥派生EDK。
   	AgentArts加密	免费，由AgentArts给每个租户生成一个租户主密钥，使用租户主密钥派生DEK。租户主密钥可以轮转，相对于KMS的用户主密钥。
   加密密钥类型	默认密钥	默认密钥为AgentArts，实例不收费，每月2W次免费使用次数，解密时可以缓存，但在敏感数据很多时，可能超出2W次。 默认值为kms-agentarts/default。
   	自定义密钥	自定义密钥实例和使用均收费。 单击“查看KMS密钥”，在密码安全中心的“密钥管理”中创建密钥，创建密钥的操作请参考创建自定义密钥。返回“加密方式”页面，单击刷新密钥列表，在下拉框中选择创建的密钥。