检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
自动续费 如果在升级密钥管理或购买专属加密实例时,您已勾选并同意“自动续费”,则在服务到期前,系统会自动按照购买周期生成续费订单并进行续费。 手动续费 服务到期前,系统会以短信或邮件的形式提醒您服务即将到期,并提醒您续费。 服务到期后,如果您没有及时续费,资源会进入保留期。
创建专属密钥库 密钥库(KeyStore)是一种用于存储和管理密钥(如公钥、私钥)和证书的系统或工具,是确保加密系统安全可靠运行的重要组成部分。
在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。 镜像加密请参见IMS服务端加密。 数据盘加密请参见EVS服务端加密。 父主题: 云服务使用KMS加解密数据
asn1Vector.add(new DEROctetString(c2)); // 生成DER编码 final DERSequence derSequence = new DERSequence(asn1Vector); return
系统策略 无 表 KMS常用操作与系统权限的关系、表 CSMS常用操作与系统权限的关系、表 KPS常用操作与系统权限的关系列出了DEW常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
signature String 签名值,使用base64编码。 状态码:400 表5 响应Body参数 参数 参数类型 描述 error Object 错误信息返回体。
方式二:通过加密弹性云服务器创建加密镜像 用户选择弹性云服务器创建私有镜像时,如果该云服务器的系统盘已加密,那么使用该云服务器创建的私有镜像也是加密的。镜像加密使用的密钥为创建该系统盘时使用的密钥。 EVS系统盘加密,详见EVS服务端加密。
约束条件 弹性云服务器的私钥文件必须满足以下格式要求: 表1 选择私钥文件格式 本地使用的操作系统 登录Linux弹性云服务器使用的工具 私钥文件格式 Windows操作系统 Xshell “.pem” PuTTY “.ppk” Linux操作系统 - “.pem”或“.ppk”
专属加密 密码系统服务 (Cloud Platform Cryptosystem Service,CPCS) 云平台密码系统服务是一种云上的一站式密码服务管理平台。
非Ubuntu14.xx版本的操作系统。 service sshd restart Ubuntu14.xx版本的操作系统。 service ssh restart 父主题: 密钥对管理
密码安全中心的收费涉及密钥管理服务(KMS)、凭据管理服务(CSMS)、专属加密(DHSM)、云平台密码系统(CPCS)四个微服务。 计费模式 密码安全中心提供包年/包月、按需计费两种计费模式,以满足不同场景下的用户需求。
用户需要将专属加密实例和业务系统部署在同一个VPC内,并选择合适的安全组规则。如果您对此有疑问,请咨询客服人员。 图1 产品架构 敏感数据加密 应用领域:政府公共事业、互联网企业、包含大量敏感信息的系统应用。 数据是企业的核心资产,每个企业都有自己的核心敏感数据。
凭据统一管理 应用系统中存在大量的敏感凭据信息,且分散到不同业务部门及系统,管理混乱,缺乏集中管理工具。 通过凭据管理服务对敏感凭据进行统一的存储、检索、使用等全生命周期管控。 解决方案说明如下: 用户或管理员对应用敏感凭据进行收集。 将收集的敏感凭据上传托管到凭据管理服务。
状态 专属加密实例的状态: 安装中 您支付了初装费用后,系统会对您购买的实例进行安装,专属加密实例处于“安装中”状态。 待激活 系统已安装专属加密实例,您尚未对专属加密实例进行激活,专属加密实例处于“待激活”状态。
敏感信息举例 敏感信息 用途 丢失风险 密钥证书 加密业务数据,通信通道,数字签名 保密信息被盗、加密通道遭监听、签名被伪造 后台配置文件 保存系统架构和其他业务信息,例如数据库 IP、密码 业务数据被拖库、成为攻击其他系统的跳板 加解密原理 以保护服务器HTTPS证书为例,采用调用
将系统身份策略附加至用户或用户组 为用户或用户组授予密钥管理服务(KMS)的加密密钥只读权限的系统策略“KMSReadOnlyPolicy”,并加策略附加至用户或用户组。
用户 专属加密与密码系统服务的关系 专属加密服务(Dedicated HSM)和密码系统服务(CPCS)在云平台中都用于提供加密和安全功能,但它们在功能、应用场景和管理方式上存在一定的区别和联系。具体如表4所示。
400 KMS.3803 The key of born region is turn off sync ,so no operating can be performed. 当前不支持密钥库。 联系技术支持。
默认密钥 是用户第一次通过对应云服务使用KMS加密时,系统自动生成的,其名称后缀为“/default”。 例如:evs/default 不支持禁用、计划删除等操作。 使用对应云服务系统自动生成时不计费,调用API请求次数超过20000次后,收取请求费用。 父主题: 密钥管理
使用KMS提供的密钥,包括默认密钥、自定义密钥 (CK, Custom Keys)、共享密钥: 默认密钥:由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。 默认密钥不支持禁用、计划删除等操作。
