使用专属加密实例_数据加密服务 DEW_用户指南_专属加密_华为云

(1)

用户指南

文档版本 48

发布日期 2022-02-11

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址： https://www.huawei.com

客户服务邮箱：[email protected] 客户服务电话：4008302118

(3)

1 ^密钥管理

1.1 密钥概述

用户主密钥包括“对称密钥”和“非对称密钥”。

对称密钥加密是最常用的数据加密保护方式，相比对称密钥加密，非对称密钥通常用于在信任程度不对等的系统之间，实现数字签名验签或者加密传递敏感信息。非对称密钥由一对公钥和私钥组成，他们互相关联，其中的公钥可以被分发给任何人，而私钥必须被安全的保护起来，只有受信任者可以使用。

使用非对称密钥生成数字签名以及验证签名：签名者将验签公钥分发给消息接收者，

使用签名私钥，对数据产生签名，并将数据以及签名传递给消息接收者。消息接收者获得数据和签名后，使用公钥针对数据验证签名的合法性。

表1-1 KMS 支持的密钥算法类型

密钥类型算法类型密钥规格说明用途

对称密钥 AES AES_256 AES对称密钥小量数据的加解密或用于加解密数据密钥。

对称密钥 SM4 SM4 国密SM4对称

密钥小量数据的加

解密或用于加解密数据密钥。

非对称密钥 RSA ● RSA_2048

● RSA_3072

● RSA_4096

RSA非对称密钥

小量数据的加解密或数字签名。

ECC ● EC_P256

● EC_P384

椭圆曲线密码，使用NIST 推荐的椭圆曲线

数字签名

(7)

密钥类型算法类型密钥规格说明用途非对称密钥 SM2 SM2 国密SM2非对

称密钥

1.2 创建密钥

该任务指导用户通过密钥管理界面创建用户主密钥。

用户主密钥包括“对称密钥”和“非对称密钥”。

前提条件

已获取管理控制台的登录帐号与密码。

约束条件

● 用户最多可创建20个用户主密钥，不包含默认主密钥。

● 创建的对称密钥使用的是AES-256加解密算法，密钥长度为256bit，可用于小量数据的加解密或用于加解密数据密钥。

● 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。

● 创建国密算法密钥仅支持在如下区域使用：华南-深圳，西南-贵阳一，华南-广州，华东-上海一，华东上海二，华北-北京一，华北-北京四。

● 因为默认主密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为

“/default”。

● 数据加密服务不限定主密钥的调用次数。

应用场景

● 对象存储服务中对象的服务端加密。

● 云硬盘中数据的加密。

● 私有镜像的加密。

● 云数据库中数据库实例的磁盘加密。

● 用户主密钥直接加解密小数据。

● 用户应用程序的DEK加解密。

● 非对称密钥可用于数字签名及验签。

创建密钥

步骤1 登录管理控制台。

步骤2 单击管理控制台左上角，选择区域或项目。

步骤3 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。

(8)

步骤4 单击界面右上角“创建密钥”。

步骤5 在弹出的“创建密钥”对话框中，填写密钥参数。

图1-1 创建密钥

● 别名：待创建密钥的别名。

● 密钥算法：选择密钥算法。KMS支持的密钥算法说明如表1-2所示。

对称密钥 SM4 SM4 国密SM4对称

密钥小量数据的加

解密或用于加解密数据密钥。

非对称密钥 RSA – RSA_2048 – RSA_3072 – RSA_4096

RSA非对称密钥

(9)

密钥类型算法类型密钥规格说明用途 ECC – EC_P256

– EC_P384

数字签名

非对称密钥 SM2 SM2 国密SM2非对称密钥

● 密钥用途：可选择“SIGN_VERIFY”或“ENCRYPT_DECRYPT”。

– 对于对称密钥，可省略参数或选择“ENCRYPT_DECRYPT”。

– 对于RSA非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，

省略参数为默认值“SIGN_VERIFY”。

– 对于ECC非对称密钥，可省略参数或选择“SIGN_VERIFY”。

– 对于SM2非对称密钥，可选择“ENCRYPT_DECRYPT”或

“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。

说明

创建密钥时请选择“密钥用途”，密钥创建后不可修改。

● （可选）描述：可根据自己的需要为用户主密钥添加描述。

● 企业项目：该参数针对企业用户使用。

如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。

未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。

说明

– 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。更多关于企业项目的信息，请参见《企业管理用户指南》。

– 如需开通企业项目，请参考如何开通企业项目/企业多账号。

步骤6 （可选）用户可根据自己的需要为用户主密钥添加标签，输入“标签键”和“标签值”。

说明

● 当用户在创建密钥时，没有为该用户主密钥添加标签。若用户需要为该用户主密钥添加标签，可单击该用户主密钥的别名，进入密钥详情页面，为该用户主密钥添加标签。

● 同一个用户主密钥下，一个标签键只能对应一个标签值；不同的用户主密钥下可以使用相同的标签键。

● 用户最多可以给单个用户主密钥添加20个标签。

● 当同时添加多个标签，需要删除其中一个待添加的标签时，可单击该标签所在行的“删除”，删除标签。

步骤7 单击“确定”，在页面右上角弹出“创建密钥成功”，则说明密钥创建完成。

用户可在密钥列表上查看已完成创建的密钥，密钥默认状态为“启用”。

----结束

(10)

1.3 导入密钥

1.3.1 概述

用户主密钥包含密钥元数据（密钥ID、密钥别名、描述、密钥状态与创建日期）和用于加解密数据的密钥材料。

● 当用户使用KMS管理控制台创建用户主密钥时，KMS系统会自动为该用户主密钥生成密钥材料。

● 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。

注意事项

● 安全性

用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

● 可用性与持久性

在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。

导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如表1-3所示。

(11)

表1-3 导入的密钥材料与通过 KMS 创建密钥时自动生成的密钥材料的区别 密钥材

料来源

区别

导入的

密钥 ● 可以手动删除密钥材料，但不能删除该用户主密钥及其元数据。

● 不支持密钥轮换功能。

● 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该用户主密钥及其元数据。

建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，

以便密钥材料失效或误删除时重新导入该密钥材料。

说明RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384、SM2算法密钥不能手动删除密钥材料，不能设置密钥材料的失效时间，只能永久有效。

KMS创建的密钥

● 不能手动删除密钥材料。

● 对于对称密钥，支持密钥轮换功能。

● 不能设置密钥材料的失效时间。

● 关联性

当用户将密钥材料导入用户主密钥时，该用户主密钥与该密钥材料永久关联，不能将其他密钥材料导入该用户主密钥中。

● 唯一性

当用户使用导入的密钥加密数据时，加密后的数据必须使用加密时采用的用户主密钥（即用户主密钥的元数据及密钥材料与导入的密钥匹配）才能解密数据，否则解密会失败。

1.3.2 导入密钥材料

当用户希望使用自己的密钥材料，而不是KMS生成的密钥材料时，可通过密钥管理界面将自己的密钥材料导入到KMS，由KMS统一管理。

该任务指导用户通过密钥管理界面导入密钥材料。

前提条件

● 已获取管理控制台的登录帐号与密码。

● 已准备好待导入的密钥材料。

操作步骤

(12)

步骤4 单击“导入密钥”，弹出“导入密钥”对话框。

步骤5 在弹出的对话框中填写密钥参数。

图1-2 创建空密钥

● 别名：待导入密钥的别名。

● 密钥算法：选择密钥算法。KMS支持的密钥算法说明如表1-4所示。

对称密钥 SM4 SM4 国密SM4对称密钥

小量数据的加解密或用于加解密数据密钥。

非对称密钥 RSA – RSA_2048 – RSA_3072 – RSA_4096

RSA非对称密钥

ECC – EC_P256 – EC_P384

数字签名

(13)

密钥类型算法类型密钥规格说明用途非对称密钥 SM2 SM2 国密SM2非对

称密钥

● 密钥用途：可选择“SIGN_VERIFY”或“ENCRYPT_DECRYPT”。

– 对于对称密钥，可省略参数或选择“ENCRYPT_DECRYPT”。

– 对于RSA非对称密钥，可选择“ENCRYPT_DECRYPT”或“SIGN_VERIFY”，

省略参数为默认值“SIGN_VERIFY”。

– 对于ECC非对称密钥，可省略参数或选择“SIGN_VERIFY”。

– 对于SM2非对称密钥，可选择“ENCRYPT_DECRYPT”或

“SIGN_VERIFY”，省略参数为默认值“SIGN_VERIFY”。

说明

创建密钥时请选择“密钥用途”，密钥创建后不可修改。

● （可选）描述：可根据自己的需要为密钥添加描述。

● 企业项目：该参数针对企业用户使用。

如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。

未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。

说明

– 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。更多关于企业项目的信息，请参见《企业管理用户指南》。

– 如需开通企业项目，请参考如何开通企业项目/企业多账号。

步骤6 （可选）用户可根据自己的需要为用户主密钥添加标签，输入“标签键”和“标签值”。

说明

● 当用户在创建密钥时，没有为该用户主密钥添加标签。若用户需要为该用户主密钥添加标签，可单击该用户主密钥的别名，进入密钥详情页面，为该用户主密钥添加标签。

● 同一个用户主密钥下，一个标签键只能对应一个标签值；不同的用户主密钥下可以使用相同的标签键。

● 用户最多可以给单个用户主密钥添加20个标签。

步骤7 单击“安全性与持久性”阅读并了解导入密钥的安全性和持久性。

步骤8 勾选“我已经了解导入密钥的安全性和持久性”，创建密钥材料为空的用户主密钥。

步骤9 单击“下一步”，进入“获取包装密钥和导入令牌”页面。根据表1-5选择密钥包装算法。

(14)

图1-3 获取包装密钥和导入令牌

表1-5 密钥包装算法说明

密钥包装算法说明设置

RSAES_OAEP_SH

A_256 具有“SHA-256”哈希函数

的OAEP的RSA加密算法。请用户根据自己的HSM功能选择加密算法。

如果您的HSM支持

“RSAES_OAEP_SHA_256”加密算法，推荐使用

“RSAES_OAEP_SHA_256”加密密钥材料。

SM2_ENCRYPT 国密推荐的SM2椭圆曲线公

钥密码算法。请在支持国密的局点使用SM2加密算法。

说明

当用户执行“导入密钥”操作，但未成功导入密钥材料便退出操作过程时，可在待导入密钥材料的用户主密钥所在行单击“导入密钥材料”，页面会弹出“导入密钥材料”对话框，用户可继续执行导入密钥材料的操作。

步骤10 单击“下载”，下载的文件包含包装密钥、导入令牌和说明文件，如图1-4所示。

图1-4 下载文件

● wrappingKey_密钥ID_下载时间：即包装密钥，用于加密密钥材料的包装密钥。

● importToken_密钥ID_下载时间：即导入令牌，KMS导入密钥材料时需要使用。

● README_密钥ID_下载时间：即说明文件，记录包装密钥序列号、密钥包装算法、包装密钥文件名称、令牌文件名称以及包装密钥和令牌的过期时间。

(15)

须知

包装密钥和导入令牌将在24小时后失效，失效后将不能使用。如果包装密钥和导入令牌失效，请重新下载包装密钥和导入令牌。

同时，用户也可以通过调用API接口的方式获取包装密钥和导入令牌。

1. 调用“get-parameters-for-import”接口，获取包装密钥和导入令牌。

如下以获取密钥ID为“43f1ffd7-18fb-4568-9575-602e009b7ee8”，加密算法为

“RSAES_OAEP_SHA_256”的包装密钥和导入令牌为例。

“public_key”：调用API接口返回的base64编码的包装密钥内容。

“import_token”：调用API接口返回的base64编码的导入令牌内容。

– 请求样例

{

"key_id": "43f1ffd7-18fb-4568-9575-602e009b7ee8", "wrapping_algorithm":"RSAES_OAEP_SHA_256"

}

– 响应样例

{ "key_id": "43f1ffd7-18fb-4568-9575-602e009b7ee8", "public_key":"public key base64 encoded data", "import_token":"import token base64 encoded data", "expiration_time":1501578672

}

2. 保存包装密钥，包装密钥需要按照以下步骤转换格式。使用转换格式后的包装密钥进行加密的密钥材料才能成功导入管理控制台。

a. 复制包装密钥“public_key”的内容，粘贴到“.txt”文件中，并保存为

“PublicKey.b64”。

b. 使用OpenSSL，执行以下命令，对“PublicKey.b64”文件内容进行base64转码，生成二进制数据，并将转码后的文件保存为“PublicKey.bin”。

openssl enc -d -base64 -A -in PublicKey.b64 -out PublicKey.bin

3. 保存导入令牌，复制导入令牌“import_token”的内容，粘贴到“.txt”文件中，

并保存为“ImportToken.b64”。

步骤11 使用下载的“包装密钥”对待导入的密钥材料进行加密。

● 方法一：使用下载的包装密钥在自己的HSM中加密密钥材料，详细信息请参考您的HSM操作指南。

● 方法二：采用OpenSSL加密密钥材料。

说明

若用户需要使用openssl pkeyutl命令，OpenSSL需要是1.0.2及以上版本。

若用户使用SM2公钥包装，需要支持gmssl命令。

如下以使用下载的包装密钥，加密生成的密钥材料（256位对称密钥）为例说明，

操作步骤如下所示：

a. 在已安装OpenSSL工具的客户端上，执行以下命令（以配套算法为

““AES256算法””为例），生成密钥材料（256位对称密钥），并将生成的密钥材料以“PlaintextKeyMaterial.bin”命名保存。

openssl rand -out PlaintextKeyMaterial.bin 32

对于需要导入RSA，ECC非对称密钥，执行如下命令生成对称密钥：

(16)

i. 生成16进制AES256密钥：

openssl rand -out 0xPlaintextKeyMaterial.bin -hex 32 ii. 将16进制AES256密钥转换成二进制格式

cat 0xPlaintextKeyMaterial.bin | xxd -r -ps >

PlaintextKeyMaterial.bin 说明

若导入密钥时选择的配套算法为““商密SM4算法””，请执行以下命令：

openssl rand -out PlaintextKeyMaterial.bin 16

对于需要导入SM2非对称密钥，执行如下命令生成对称密钥：

1. 生成16进制SM4密钥：

openssl rand -out 0xPlaintextKeyMaterial.bin -hex 16 2. 将16进制SM4密钥转换成二进制格式

cat 0xPlaintextKeyMaterial.bin | xxd -r -ps >

PlaintextKeyMaterial.bin

b. 使用下载的包装密钥加密密钥材料，并将加密后的密钥材料按

“EncryptedKeyMaterial.bin”命名保存。

以下命令中的PublicKey.bin参数请以步骤10下载的包装密钥名称 wrappingKey_密钥ID_下载时间进行替换。

表1-6 使用下载的包装密钥加密生成的密钥材料 包装密钥算法加密生成的密钥材料 RSAES_OAEP_SHA

_256 openssl pkeyutl

-in PlaintextKeyMaterial.bin -inkey PublicKey.bin

-out EncryptedKeyMaterial.bin -keyform der

-pubin -encrypt

-pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

SM2_ENCRYPT gmssl pkeyutl

-encrypt -pkeyopt ec_scheme:sm2 -pkeyopt ec_encrypt_param:sm3 -in PlaintextKeyMaterial.bin -pubin -inkey PublicKey.bin -keyform der

-out EncryptedKeyMaterial.bin

c. 对于需要导入非对称密钥的，需要生成非对称私钥，并使用临时密钥材料对私钥进行加密。

▪

执行以下命令（以配套算法为“RSA4096算法”为例）：

1) 生成私钥

(17)

openssl genrsa -out rsa_private_key.pem 4096 2) 转换成der格式

openssl pkcs8 -topk8 -inform PEM -outform DER -in rsa_private_key.pem -out rsa_private_key.der -nocrypt 3) 使用临时密钥材料对私钥进行加密

openssl enc -id-aes256-wrap-pad -K $(cat 0xPlaintextKeyMaterial.bin) -iv A65959A6 -in rsa_private_key.der -out out_rsa_private_key.der

说明

默认情况下，OpenSSL命令行工具中未启用包装密码算法-id-aes256- wrap-pad。您可以下载并安装最新版本的OpenSSL，然后对其进行修补，

以完成导入非对称密钥所需的信封包装。修补方式可以参考常见问题。

▪

特别的，对于使用SM4临时密钥材料加密SM2私钥（以sm2p256v1为例）的。参考如下步骤：

1) 生成私钥

gmssl ecparam -genkey -name sm2p256v1 -text -out sm2_private_key.pem

2) 转换成der格式

gmssl pkcs8 -topk8 -inform PEM -outform DER -in sm2_private_key.pem -out sm2_private_key.der -nocrypt 3) 使用临时密钥材料对私钥进行加密

gmssl enc -sms4-wrap-pad -K $(cat

0xPlaintextKeyMaterial.bin) -iv A65959A6 -in sm2_private_key.der -out out_sm2_private_key.der

说明

默认情况下，GmSSL命令行工具中未启用包装密码算法-sms4-wrap- pad。您可以下载并安装最新版本的GmSSL，然后对其进行修补，以完成导入非对称密钥所需的信封包装。修补方式可以参考常见问题。

步骤12 单击“下一步”，进入“导入密钥材料”页面。

表1-7 导入密钥材料参数说明（对称密钥场景）

参数说明

密钥ID 创建密钥时，随机生成的密钥ID。

密钥材料选择导入密钥材料。

表1-8 导入密钥材料参数说明（非对称密钥场景）

参数说明

临时密钥材料选择导入临时密钥材料。

(18)

参数说明

私钥密文选择导入私钥密文。

图1-5 导入密钥材料

步骤13 单击“下一步”，进入“导入密钥令牌”页面。根据表1-9设置参数。

图1-6 导入密钥令牌

表1-9 导入密钥令牌参数说明

参数操作说明

密钥导入令牌选择步骤10“下载”的导入令牌。

密钥材料失效模

式 ● 永不失效：导入的密钥材料永久不失效。

● 失效时间：用户可指定导入的密钥材料的失效时间，默认失效时间为24小时。

密钥材料失效后，KMS会在24小时内自动删除密钥材料，删除后密钥将无法使用，且密钥状态变更为“等待导入”。

步骤14 单击“确定”，页面右上角弹出“密钥导入成功”，则说明导入密钥成功。

(19)

须知

密钥ID、导入的密钥材料和导入的令牌需要全部匹配，密钥材料才能导入成功，否则会导入失败。

用户可在密钥列表中查看到导入的密钥信息，导入密钥的默认状态为“启用”。

----结束

1.3.3 删除密钥材料

当用户导入密钥材料时，可以指定密钥材料的失效时间。当密钥材料失效后，KMS将删除密钥材料，用户主密钥的状态变为“等待导入”。用户也可以根据需要手动删除密钥材料。等待密钥材料到期失效与手动删除密钥材料所达到的效果是一样的。

该任务指导用户通过密钥管理界面对外部导入的密钥材料进行删除操作。

前提条件

● 用户已导入密钥材料。

● “密钥材料来源”为“外部”。

● 密钥“状态”为“启用”或“禁用”。

约束条件

● 删除密钥材料后，若需要重新导入密钥材料，导入的密钥材料必须与删除的密钥材料完全相同，才能导入成功。

● 用户重新导入相同的密钥材料后，该用户主密钥可以解密删除密钥材料前加密的所有数据。

● 密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。

● 非对称密钥不支持删除密钥材料功能，如需删除，请使用计划删除密钥功能。

操作步骤

步骤4 在需要删除的密钥材料所在行，单击“删除密钥材料”。

步骤5 在弹出的对话框中单击“确定”，页面右上角弹出“密钥材料删除成功”，则说明删除密钥材料的成功。

密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。

----结束

(20)

1.4 管理密钥

1.4.1 查看密钥

该任务指导用户通过KMS界面查看用户主密钥的信息，包括密钥别名、状态、ID和创建时间。密钥状态包括“启用”、“禁用”、“计划删除”和“等待导入”。

操作步骤

步骤4 在密钥列表中，查看密钥信息，密钥列表参数说明，如表1-10所示。

图1-7 自定义密钥列表

图1-8 默认密钥列表

表1-10 密钥列表参数说明

参数操作说明

别名密钥的别名。

状态密钥的状态，包含：

● 启用

密钥处于启用状态

● 禁用

密钥处于禁用状态

● 计划删除

密钥处于计划删除状态

● 等待导入

如果密钥没有密钥材料，那么密钥的状态为“等待导入”。

(21)

参数操作说明

ID 创建密钥时自动生成的密钥ID。

说明在IAM中创建自定义策略时，添加资源路径中的“路径”填写此ID。

创建时间创建该密钥的时间。

密钥算法创建密钥时选择的密钥算法。

密钥材料失效时间密钥材料失效的时间，密钥材料失效后，当前密钥为空密钥。

密钥材料来源密钥材料的来源，包含：

● 外部用户从外部导入到KMS。

● 密钥管理

用户通过KMS创建的密钥，或默认主密钥。

企业项目创建密钥时，给密钥绑定企业项目ID。

操作用户可以在操作栏中，执行禁用、删除、分配至项目、导入密钥材料、取消删除密钥等操作。

步骤5 用户可单击密钥别名，查看密钥详细信息，如图1-9所示。

图1-9 密钥详细信息

(22)

说明

用户可单击该密钥的“别名”或“描述”所在行的，修改密钥的别名或描述信息。

● 默认主密钥（密钥别名后缀为“/default”），别名和描述不可以修改。

● 密钥状态处于“计划删除”时，别名和描述不可修改。

----结束

1.4.2 启用密钥

该任务指导用户通过密钥管理界面对单个或多个用户主密钥进行启用操作，使被禁用的密钥恢复到数据加解密能力。新建的用户主密钥默认为“启用”状态。

前提条件

● 待启用的密钥需处于“禁用”状态。

操作步骤

步骤4 在需要启用的密钥所在行，单击“启用”。

图1-10 启用单个密钥

步骤5 在弹出窗口中，单击“是”，完成启用单个密钥操作。

说明

如果您想批量启用密钥，可以勾选所有需要启用的密钥，然后在列表左上角，单击“启用”。

----结束

1.4.3 禁用密钥

该任务指导用户通过密钥管理界面对指定的用户主密钥进行禁用，以紧急保护数据。

用户主密钥被禁用后，用户将不能使用该密钥进行加解密任何数据。如果要使用该密钥进行加解密数据，用户需将该密钥重新启用，具体操作请参见启用密钥。

前提条件

● 待禁用的密钥需处于“启用”状态。

(23)

约束条件

● 默认主密钥为密钥管理自动创建，不支持禁用操作。

● 密钥被禁用后，仍然会计费。只有删除密钥，才会停止计费。

操作步骤

步骤4 在需要禁用的密钥所在行，单击“禁用”。

图1-11 禁用单个密钥

步骤5 在弹出窗口中，勾选“我已知晓禁用以上密钥产生的影响”，单击“是”，完成禁用单个密钥操作。

说明

如果您想批量禁用密钥，可以勾选所有需要禁用的密钥，然后在列表左上角，单击“禁用”。

----结束

1.4.4 计划删除密钥

在删除密钥前，您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。

● 检查CMK权限以确定潜在使用范围，详细操作请参见查询授权。

● 检查审计日志以确定实际使用情况，详细操作请参见使用云审计服务查询数据加密服务的操作事件。

前提条件

● 待删除的密钥需处于“启用”、“禁用”、“等待导入”或“冻结”状态。

约束条件

● 用户执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。若超过推迟时间，密钥将被KMS 彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。

● 默认主密钥为服务自动创建，不支持删除操作。

● 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。

(24)

操作步骤

步骤4 在需要删除的密钥所在行，单击“删除”。

图1-12 删除单个密钥

步骤5 在弹出的窗口中，填写“推迟删除”的时间。

图1-13 推迟删除时间

步骤6 勾选“我已知晓删除以上密钥产生的影响”，单击“是”，完成删除单个密钥操作。

说明

如果您想批量计划删除密钥，可以勾选所有需要计划删除的密钥，然后在列表左上角，单击“删除”。

----结束

1.4.5 取消删除密钥

该任务指导用户在未超出删除密钥的推迟时间，通过密钥管理界面对用户主密钥进行取消删除操作，取消删除后密钥处于“禁用”状态。

前提条件

● 待取消删除的密钥需处于“计划删除”状态。

(25)

操作步骤

步骤4 在需要取消删除的密钥所在行，单击“取消删除”。

图1-14 取消删除单个密钥

步骤5 在弹出的窗口中，单击“是”，完成取消删除单个密钥操作。

说明

如果您想批量取消删除密钥，可以勾选所有需要取消删除的密钥，然后在列表左上角，单击“取消删除”。

----结束

1.4.6 分配至企业项目

该任务指导用户通过密钥管理界面对指定的用户主密钥分配至企业项目。

前提条件

说明

默认主密钥已不支持切换企业项目。

操作步骤

步骤4 在目标密钥所在行，单击“分配至项目”，弹出对话框。

(26)

图1-15 分配至项目

步骤5 在弹出的对话框中，选择迁入项目。

步骤6 单击“确定”，完成操作。

----结束

1.5 在线工具加解密小数据

该任务指导用户通过密钥管理界面使用在线工具加解密不大于4KB的数据。

前提条件

约束条件

● 在线工具不支持通过默认主密钥加解密小数据。

● 用户可使用调用API接口的方式，使用默认主密钥加解密小数据，详细信息请参考

《数据加密服务API参考》。

● 加密数据时，使用当前指定的密钥加密数据。

● 解密数据时，在线工具自动识别并使用数据被加密时使用的密钥解密数据，如果加密时使用的密钥已被删除，会导致解密失败。

加密数据

步骤4 单击目标用户主密钥的别名，进入密钥详细信息在线工具加密数据页面。

步骤5 在“加密”文本框中输入待加密的数据，如图1-16所示。

(27)

图1-16 加密数据

步骤6 单击“执行”，右侧文本框显示加密后的密文数据。

说明

● 加密数据时，使用当前指定的密钥加密数据。

● 用户可单击“清除”，清除已输入的数据。

● 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。

----结束

解密数据

步骤4 解密数据时，可单击任意“启用”状态的非默认主密钥别名，进入该密钥的在线工具页面。

步骤5 单击“解密”，在左侧文本框中数据待解密的密文数据，如图1-17所示。

说明

● 在线工具自动识别并使用数据被加密时使用的密钥解密数据。

● 若该密钥已被删除，会导致解密失败。

图1-17 解密数据

步骤6 单击“执行”，右侧文本框中显示解密后的明文数据。

说明

用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。

----结束

(28)

1.6 管理标签

1.6.1 添加标签

标签用于标识用户主密钥。为用户主密钥添加标签，可以方便用户对用户主密钥进行分类和跟踪，并按标签汇总用户主密钥的使用情况。

用户可以按照部门、使用者角色等为密钥添加标签，例如，部门：运维部，如图1-18 所示。

图1-18 管理标签

前提条件

约束条件

KMS不支持为默认主密钥添加标签。

操作步骤

(29)

步骤4 单击目标用户主密钥的别名，进入密钥详细信息页面。

说明

若用户需要为密钥管理添加标签，可直接单击密钥管理的名称，进入密钥管理详细信息页面，单击“添加标签”，添加标签。

步骤5 单击“标签”，进入标签管理页面。

步骤6 单击“添加标签”，弹出添加标签对话框，如图1-19所示，在弹出的“添加标签”对话框中输入“标签键”和“标签值”，参数说明如表1-11所示。

图1-19 添加标签

说明

● 若需要使用同一标签标识多种云资源，即所有服务均可在标签输入框下选择同一标签，用户可在TMS中创建预定义标签。更多关于预定义标签的信息，请参见《标签管理用户指南》。

(30)

表1-11 标签参数说明

参数参数说明取值要求样例

标签键标签的名称。

同一个用户主密钥下，一个标签键只能对应一个标签值；不同的用户主密钥下可以使用相同的标签键。

用户最多可以给单个用户主密钥添加20个标签。

● 必填。

● 对于同一个用户主密钥，标签键唯一。

● 长度不超过36个字符。

● 可以包含以下5种字符：

– 大写字母 – 小写字母 – 数字

– 特殊字符，包括

“-”和“_”

– 中文字符

cost

标签值标签的值。 ● 可以为空。

● 长度不超过43个字符。

● 可以包含以下5种字符：

– 大写字母 – 小写字母 – 数字

– 特殊字符，包括

“-”和“_”

– 中文字符

100

步骤7 单击“确定”，完成标签的添加。

----结束

1.6.2 通过标签搜索用户主密钥

该任务指导用户在密钥管理界面，通过标签搜索当前项目下满足标签搜索条件的用户主密钥。

前提条件

● 已添加标签。

约束条件

● 可添加多个标签进行组合搜索，最多支持20个不同标签的组合搜索，若进行多个标签组合搜索，则搜索结果的每个用户主密钥均满足标签组合搜索条件。

(31)

● 若需要在搜索条件中删除添加的标签，可在搜索条件中单击指定标签后的，删除添加的标签。

● 若需要重新添加搜索条件，可单击“重置”，重新添加搜索条件。

操作步骤

步骤4 单击“标签搜索”，展开搜索框，如图1-20所示。

图1-20 标签搜索框

步骤5 在搜索框中输入或选择“标签键”和“标签值”。

步骤6 单击，添加到搜索条件中，并单击“搜索”，显示满足搜索条件的用户主密钥列表，如图1-21所示。

图1-21 搜索结果

说明

● 可添加多个标签进行组合搜索，最多支持20个不同标签的组合搜索，若进行多个标签组合搜索，则搜索结果的每个用户主密钥均满足标签组合搜索条件。

● 若需要在搜索条件中删除添加的标签，可在搜索条件中单击指定标签后的，删除添加的标签。

● 若需要重新添加搜索条件，可单击“重置”，重新添加搜索条件。

----结束

1.6.3 修改标签值

该任务指导用户通过密钥管理界面修改标签值。

前提条件

(32)

操作步骤

说明

若用户需要修改密钥管理的标签值，可直接单击目标密钥管理的名称，进入密钥管理详细信息页面，单击目标标签所在行的“编辑”，修改标签值。

步骤6 单击目标标签所在行的“编辑”，弹出编辑标签对话框。

图1-22 编辑标签

步骤7 在弹出的编辑标签对话框中修改标签值，单击“确定”，完成标签值的修改。

----结束

1.6.4 删除标签

该任务指导用户通过密钥管理界面删除标签。

前提条件

操作步骤

(33)

说明

若用户需要删除密钥管理的标签，可直接单击密钥管理的名称，进入密钥管理详细信息页面，单击目标标签所在行的“删除”，删除标签。

步骤6 单击目标标签所在行的“删除”，弹出删除标签对话框。

步骤7 在弹出的删除标签对话框中单击“是”，完成标签的删除。

----结束

1.7 轮换密钥

1.7.1 密钥轮换概述及两种方法

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，您需要为用户主密钥创建新的密钥材料。

为什么需要轮换密钥

● 减少每个密钥加密的数据量

一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。

● 增强应对安全事件的能力

在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。

● 加强对数据的隔离能力

轮换密钥使得轮换前后产生的密文数据形成事实上的隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。

手动轮换密钥

您可能希望创建一个新的密钥B，并使用它替代当前的密钥A，而不启用自动密钥轮换。当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。使用一个新的密钥替换使用中的密钥的过程被称为手动密钥轮换。

对于不符合自动密钥轮换要求的密钥，例如非对称密钥、自定义创建的主密钥以及导入的主密钥，这也是一种很好的解决方案。

(34)

图1-23 手动轮换密钥

说明

若华为云服务（例如：OBS）使用KMS的用户主密钥加解密数据，需要手动轮换密钥时，用户需要在KMS界面创建一个新的用户主密钥，并在OBS界面将原用户主密钥替换为新的用户主密钥。

自动轮换密钥

自动密钥轮换只会更改主密钥的密钥材料，即加密操作中所使用的加密材料。不管密钥材料有没有变更或变更了多少次，该主密钥仍是相同的逻辑资源。主密钥的属性不会发生变化。

自动密钥轮换具有以下优点：

1. 为现有的用户主密钥开启密钥轮换，KMS自动为该用户主密钥生成新的密钥材料。

2. 密钥轮换只会更改用户主密钥的密钥材料，用户主密钥的属性（密钥ID、别名、

描述、权限）不会发生变化。

3. 开启密钥轮换后，KMS会根据设置的轮换周期（默认365天）自动轮换密钥，每次轮换都会生成一个新版本的用户主密钥，如图1-24所示。

但是，自动密钥轮换对主密钥所保护的数据无效。它不会轮换主密钥生成的数据密钥，也不会对任何受主密钥保护的数据重新加密，并且它无法减轻数据密钥泄露的影响。

图1-24 密钥轮换工作原理

KMS会保留与该用户主密钥关联的所有版本的用户主密钥。这使得KMS可以解密使用该用户主密钥加密的任何密文。

(35)

● 加密数据时，KMS会自动使用当前最新版本的用户主密钥来执行加密操作。

● 解密数据时，KMS会自动使用加密时所使用的用户主密钥来执行解密操作。

表1-12 自动轮换密钥的工作方式

密钥的来源或状态是否可以进行自动轮换密钥

默认主密钥您无法管理其密钥轮换，且后台无法进行自动轮换。

非对称密钥不支持自动轮换密钥，您可以手动轮换密钥。

导入的用户主密钥不支持自动轮换密钥，您可以手动轮换密钥。

已禁用的主密钥禁用主密钥后，KMS不会对它进行轮换。但是，密钥轮换状态

不会发生改变，并且在主密钥处于禁用状态时不能对其进行更改。重新启用主密钥后，如果已禁用的用户主密钥已超过轮换周期，KMS会立即轮换。如果已禁用的用户主密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。

计划删除的主密钥对于计划删除的主密钥，KMS不会对它进行轮换。如果取消删

除，将恢复之前的密钥轮换状态。如果计划删除的用户主密钥已超过轮换周期，KMS会立即轮换。如果计划删除的用户主密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。

说明

用户可在轮换策略页面查看轮换详情，例如：上次轮换时间、轮换次数。

轮换密钥的定价

启用密钥轮换可能会生成额外的费用。费用详情查阅计费说明。

1.7.2 开启密钥轮换

该任务指导用户通过密钥管理界面开启自动轮换密钥。

默认情况下，用户主密钥的自动密钥轮换处于禁用状态。当您启用（或重新启用）密钥轮换时，KMS会根据您设置的轮换周期自动轮换用户主密钥。

前提条件

● 密钥处于“启用”状态。

● “密钥材料来源”为“密钥管理”。

约束条件

如果用户主密钥开启密钥轮换以后，禁用了用户主密钥，KMS也不会轮换该用户主密钥。

当用户主密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的用户主密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该用户主密钥。

(36)

操作步骤

图1-25 密钥详细信息界面

步骤5 单击“轮换策略”，进入密钥轮换管理界面，如图1-26所示。

图1-26 密钥轮换

步骤6 单击，将“密钥轮换”设置为，弹出“启用轮换策略”对话框。

步骤7 设置轮换周期（天），单击“确定”。如图1-27所示。参数说明如表1-13所示。

(37)

图1-27 开启密钥轮换

表1-13 密钥轮换参数说明

参数说明

密钥轮换密钥轮换开关，默认。

：关闭。

：开启。

开启密钥轮换后，密钥在设置的轮换周期到达后开始轮换。

说明如果用户主密钥开启密钥轮换以后，禁用了用户主密钥，KMS也不会轮换该用户主密钥。

当用户主密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的用户主密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该用户主密钥。

轮换周期（天）轮换周期。取值范围为“30~365”的整数，默认“365”

天。

轮换周期需要根据用户主密钥的使用频率进行设置，若密钥使用频率高，建议设置为短周期；反之，则设置为长周期。

步骤8 开启后，页面显示密钥轮换详情，如图1-28所示。

图1-28 密钥轮换详情

(38)

说明

用户可单击，修改轮换周期。修改轮换周期后，根据新设置的轮换周期进行轮换。

----结束

1.7.3 关闭密钥轮换

该任务指导用户通过密钥管理界面关闭自动轮换密钥。

前提条件

● 密钥处于“启用”状态。

● “密钥材料来源”为“密钥管理”。

● 已开启密钥轮换。

操作步骤

步骤4 单击目标对称密钥的别名，进入密钥详细信息页面。

步骤5 单击“轮换策略”，进入密钥轮换管理界面，如图1-29所示。

图1-29 密钥轮换

步骤6 单击，关闭密钥轮换。

步骤7 关闭后，页面将显示密钥轮换管理界面，如图1-30所示。

(39)

图1-30 关闭密钥轮换

----结束

1.8 管理授权

1.8.1 创建授权

用户可以为其他IAM用户或帐号创建授权，授予其使用自身的用户主密钥（CMK）的权限，一个用户主密钥下最多可创建100个授权。

前提条件

● 已获取被授权IAM用户或帐号的ID。

● 用户主密钥需处于“启用”状态。

约束条件

用户主密钥的所有者可通过KMS界面或者调用API接口的方式为用户主密钥创建授权；

被用户主密钥所有者授予了“创建授权”操作权限的用户或帐号仅能通过调用API接口的方式为用户主密钥创建授权。

操作步骤

步骤4 单击目标用户主密钥的别名，进入密钥详细信息授权页面。

步骤5 单击“授权”，进入授权管理界面，如图1-31所示。

图1-31 授权页面

(40)

步骤6 单击“创建授权”，弹出“创建授权”对话框。

图1-32 创建授权（用户）

图1-33 创建授权（账号）

步骤7 在弹出的对话框中，输入被授权用户ID，并勾选授权操作的权限。参数说明请参见表 1-14。

须知

被授权用户只有通过调用API接口的方式，才能使用“授权操作”的权限，详细信息请参考《数据加密服务API参考》。

(41)

表1-14 创建授权参数说明

参数参数说明配置样例

密钥ID 自动读取用户主密钥的ID。 -

被授权对象支持对用户和账号进行授权。

● 用户用户ID：请填写在“用户名 > 我的凭证 >

API凭证”中的“IAM用户ID”。

授权完成后，该IAM用户能使用授权中指定的密钥

● 账号账号ID：请填写在“用户名 > 我的凭证 >

API凭证”中的“帐号ID”。

授权完成后，该帐号下所有的IAM用户均能使用授权中指定的密钥。

d9a6b2bdaedd 4ba586cabe63 72d1b312

授权操作用户可选择以下授权操作：

说明

● 一个用户主密钥可以多次授权给同一个用户不同的权限，用户最终的权限为所有授权的并集。

● 授权操作选项不能为空。

● 不能仅授予“创建授权”操作。

● 创建不含明文数据密钥

● 创建数据密钥

● 加密数据密钥

● 解密数据密钥

● 查询密钥信息

● 创建授权

● 退役授权

– 当被授权用户不再使用授权用户授予的用户主密钥的操作权限时，被授权用户可退役该授权。

– 如果被授权用户在退役授权前，已将用户主密钥的操作权限授予给其他用户，那么被授权用户退役授权后，对其他用户操作用户主密钥的权限无影响。

● 加密数据

● 解密数据

-

步骤8 单击“确定”，页面右上角弹出“授权创建成功”，则说明授权成功。

授权列表中可查看到“授权ID”、“授权类型”、“被授权ID”、“授权操作”和

“创建时间”。

----结束

(42)

1.8.2 查询授权

该任务指导用户通过KMS界面查看用户主密钥的授权信息，包括授权ID、被授权ID、

授权操作、创建时间等。

前提条件

● 用户已创建授权。

操作步骤

步骤5 用户可查看当前用户主密钥的授权信息，如图1-34所示。

图1-34 查询授权

用户主密钥的授权信息如表1-15所示。

表1-15 授权信息参数说明

参数参数说明

授权ID 随机生成的授权的唯一标识。

授权类型授权类型：用户和账号。

被授权ID 被授权的ID。

授权操作被授予用户对用户主密钥的操作权限（例如：创建数据密钥）。

创建时间创建该授权的时间。

操作用户可以在操作栏中，执行撤销授权操作。

步骤6 单击“授权ID”，可以查看授权详情，如图1-35所示。

(43)

图1-35 授权详情

----结束

1.8.3 撤销授权

在以下两种情况下，授权用户可以通过密钥管理界面撤销授权：

● 当被授权用户不再使用授权用户的用户主密钥时，被授权用户可告知授权用户撤销授权，或者通过API接口直接退役授权。

● 当授权用户想收回用户主密钥的操作权限时，授权用户可强制撤销授权。

撤销授权后，被授权用户不再持有被授予的权限，而撤销授权前被授权用户已授予给其他用户的权限不受影响。

该任务指导用户通过KMS界面撤销授权。

前提条件

● 用户已创建授权。

操作步骤

步骤5 在目标授权ID所在行，单击“撤销授权”。

步骤6 在弹出的对话框中单击“是”，页面右上角弹出“授权撤销成功”，则说明撤销授权成功。

----结束

(44)

2 ^凭据管理

2.1 创建凭据

该任务指导用户通过凭据管理界面创建凭据。

创建新的凭据，并将凭据值存入凭据的初始版本，初始版本的状态被标记为

“SYSCURRENT”。

前提条件

约束条件

● 用户最多可创建200个凭据。

● 默认使用凭据管理为您创建的默认主密钥“csms/default”作为当前凭据的加密主密钥。您也可以前往KMS服务页面创建用户密钥，使用自定义加密密钥。

创建凭据

步骤4 在左侧导航树中，选择“凭据管理”，进入“凭据管理”页面。

步骤5 单击“创建凭据”。

(45)

图2-1 创建凭据

步骤6 在弹出的“创建凭据”对话框中，填写“凭据名称”、“设置凭据值”、“描述信息”和“KMS加密”。

● 凭据名称：待创建凭据的名称。

● 设置凭据值：待加密的用户凭据键/值凭据值和明文凭据。

● 描述信息：凭据的描述信息。

● KMS加密：选择默认主密钥“csms/default”或用户在KMS已创建的用户密钥。

说明

默认使用凭据管理为您创建的默认主密钥“csms/default”作为当前凭据的加密主密钥。

您也可以前往KMS服务页面创建用户密钥，使用自定义加密密钥，在KMS创建用户密钥的操作，请参见创建密钥。

步骤7 单击“确定”，凭据创建完成。

用户可在凭据列表查看已完成创建的凭据，凭据默认状态为“启用”。

----结束

2.2 管理凭据

2.2.1 查看凭据

该任务指导用户通过凭据管理界面查看凭据的信息，包括凭据名称、状态和创建时间。凭据状态包括“启用”和“待删除”。

(46)

前提条件

操作步骤

步骤5 在凭据列表中，查看凭据信息，凭据列表参数说明，如表2-1所示。

图2-2 凭据列表

表2-1 凭据列表参数说明

参数操作说明

凭据名称凭据的名称。

状态凭据的状态，包含：

● 启用

凭据处于启用状态

● 待删除

凭据处于待删除状态创建时间创建该凭据的时间。

操作用户可以在操作栏中，执行删除和撤销删除凭据的操作。

步骤6 用户可单击凭据名称，查看凭据详细信息，如图2-3所示。

图2-3 凭据详细信息

(47)

说明

● 用户可单击“编辑”，修改凭据的“加密密钥”和“描述信息”。

● 单击“刷新”，刷新凭据信息。

----结束

2.2.2 删除凭据

在删除凭据前，您需要确保该凭据没有被使用或将来也不会被使用。

前提条件

● 待删除的凭据需处于“启用”状态。

约束条件

● “计划删除凭据”不会立即删除，凭据管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～30天。在推迟删除时间未到时，若需要重新使用该凭据，可以执行撤销删除凭据操作。若超过推迟时间，凭据将被彻底删除，请谨慎操作。

● “立即删除”凭据，删除后无法恢复，请谨慎操作。

操作步骤

步骤5 在需要删除的凭据所在行，单击“删除”。

图2-4 删除凭据

步骤6 在弹出的窗口中，选择“计划删除凭据”或“立即删除”。

(48)

图2-5 删除凭据

步骤7 单击“确定”，完成删除凭据操作。

说明

● “计划删除凭据”不会立即删除，凭据管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～30天。在推迟删除时间未到时，若需要重新使用该凭据，可以执行撤销删除凭据操作。若超过推迟时间，凭据将被彻底删除，请谨慎操作。

● “立即删除”凭据，删除后无法恢复，请谨慎操作。

----结束

2.3 管理凭据版本

2.3.1 管理凭据值

该任务指导用户通过凭据管理界面存入凭据值和查看凭据值。

在目标凭据中，存入凭据值即创建一个新的凭据版本，用于加密保管新的凭据值。默认情况下，新创建的凭据版本被标记为“SYSCURRENT”状态，而“SYSCURRENT”

标记的前一个凭据版本被标记为“SYSPREVIOUS”状态。

前提条件

约束条件

● 凭据管理服务的每个凭据中最多可支持20个版本。

● 每次存入新的凭据值时，凭据版本号按照为v1，v2，v3...的模式自动增加。

操作步骤

(49)

步骤5 单击凭据名称，进入凭据详细信息页面。

步骤6 在“版本列表”区，单击“存入凭据值”，弹出存入凭据值对话框，如图2-6所示，在弹出的“存入凭据值”对话框中输入“凭据键/值”和“明文凭据”。

图2-6 存入凭据值

步骤7 单击“确定”，在页面右上角弹出“版本凭据值添加成功”，则说明凭据值添加完成。

在凭据版本列表查看最新凭据值。

步骤8 在“版本列表”区，单击目标凭据版本所在行的“查看凭据值”，如图2-7所示，弹出查看凭据值对话框。

图2-7 凭据版本列表

步骤9 在“查看凭据值”对话框，单击“确定继续”。

说明

通常情况下，凭据值由应用程序调用API获取，如果您确实需要在服务控制台查看凭据值，请

“确定继续”！

步骤10 查看凭据值，单击“确定”，关闭当前对话框。

----结束

使用专属加密实例_数据加密服务 DEW_用户指南_专属加密_华为云

用户指南

华为技术有限公司

目 录

1 密钥管理...1

2 凭据管理...39

3 密钥对管理...52

4 专属加密...79

5 审计... 103

6 权限管理... 106

A 修订记录... 110

1 密钥管理

1.1 密钥概述

1.2 创建密钥

前提条件

约束条件

应用场景

创建密钥

相关操作

1.3 导入密钥

1.3.1 概述

注意事项

1.3.2 导入密钥材料

前提条件

操作步骤

▪

▪

1.3.3 删除密钥材料

前提条件

约束条件

操作步骤

1.4 管理密钥

1.4.1 查看密钥

操作步骤

1.4.2 启用密钥

前提条件

操作步骤

1.4.3 禁用密钥

前提条件

约束条件

操作步骤

1.4.4 计划删除密钥

前提条件

约束条件

操作步骤

1.4.5 取消删除密钥

前提条件

操作步骤

1.4.6 分配至企业项目

前提条件

操作步骤

1.5 在线工具加解密小数据

前提条件

约束条件

加密数据

解密数据

1.6 管理标签

1.6.1 添加标签

前提条件

约束条件

操作步骤

1.6.2 通过标签搜索用户主密钥

前提条件

约束条件

操作步骤

1.6.3 修改标签值

前提条件

操作步骤

1.6.4 删除标签

前提条件

操作步骤

1.7 轮换密钥

1.7.1 密钥轮换概述及两种方法

为什么需要轮换密钥

手动轮换密钥

自动轮换密钥

轮换密钥的定价

1.7.2 开启密钥轮换

前提条件

约束条件

目录

1 ^密钥管理

2 ^凭据管理