最近更新时间:2023-03-14
当有少量(小于4KB)数据需要加解密时,用户可以将数据通过安全信道传递到KMS服务端,服务端完成加解密后,再将操作结果通过安全信道返回给用户。
以保护服务器证书为例,介绍加解密具体操作流程:
用户通过KMS控制台或者调用CreateKey接口,创建一个用户主密钥。
用户调用KMS服务的Encrypt接口,使用用户主密钥将明文证书加密为密文证书。
用户将密文证书部署在服务器上。
当服务器需要使用证书时,调用KMS服务的Decrypt接口,将密文证书解密为明文证书。
与紫光云云服务配合使用。
以对象存储为例,基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,对象存储服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。
用户通过KMS控制台或者通过云服务调用CreateKey接口,创建一个用户主密钥。
用户调用KMS服务的GenerateDataKey接口,创建一个数据密钥。KMS会返回一个明文的数据密钥和一个密文的数据密钥。
用户使用明文的数据密钥加密文件,产生密文文件,然后删除本地的明文数字密钥。
用户将密文数据密钥和密文文件一同存储到持久化存储设备或服务中。
用户从持久化存储设备或服务中获取密文数字密钥和密文文件。
用户调用Decrypt接口,将“密文数据密钥”解密成“明文数字密钥”。
用户使用明文数字密钥为本地密文文件解密,再删除本地存储中的明文数字密钥。
