数据库敏感数据加密
示例 加密SDK用于面向应用的数据库加密,密钥由KMS产生和管理。通过以下Spring JPA和Python示例代码,可以实现对User表中email字段的写入加密和读取解密。示例中每个字段使用一个数据密钥,解密时设置了密钥缓存,对同一字段进行多次查询时...
数据加密
默认情况下云备份使用自行管理的密钥加密数据,您也可以使用自己账号的密钥管理服务KMS(Key Management Service)的密钥。KMS是阿里云提供的一款安全、易用的管理类服务,您无需花费大量成本来保护密钥的保密性、完整性和可用性。借助密钥...
专属KMS基础版和标准版的差异
密钥加密存储于用户独享的数据库。支持进行用户主密钥生命周期管理、用户主密钥授权管理和CMK租户间隔离存储。密钥安全存储于用户独享的硬件安全密码模块(HSM)资源池。密钥支持类型 对称密钥的类型:Aliyun_AES_256 非对称密钥的类型:...
密钥轮转
数据量通常是指同一个密钥加密的数据总字节数。通过定期轮转密钥,可使每个密钥具有更小的密码分析攻击面,使加密方案整体具有更高的安全性。提前具备响应安全事件的能力。在系统设计和实现时引入密钥轮转的功能,使密钥轮转作为常规的系统...
常见问题
密钥管理常见问题 KMS是否支持删除密钥 用户主密钥(CMK)删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密 KMS如何保障密钥的安全性 KMS是否支持导入密钥材料 密钥状态为不可用或调用密钥相关API时返回“Rejected....
创建密钥
您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。单击 创建密钥。在...
开启透明数据加密(内测中)
TDE加密使用的密钥由密钥管理服务(KMS)产生和管理,KMS为您提供一个主密钥,通过该密钥加密数据密钥,再通过数据密钥加密数据,这个流程叫做信封加密。在解密过程中先读取数据密钥密文,通过主密钥来解密数据密钥密文得到数据密钥明文,...
数据加密
服务器端加密 日志服务支持如下两种加密类型机制:通过日志服务自带的服务密钥加密 日志服务为每个Logstore生成独立的数据加密密钥,用于数据加密。该加密密钥永不过期。支持的数据加密算法为AES算法(默认)和国密算法SM4。通过用户自带...
ACK集群配置Secret的落盘加密
应用场景 在ACK Pro集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥,保障数据安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测...
DisableKey
使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56ef-12345678*的主密钥进行加解密。调试 您可以在OpenAPI ...
管理密钥
计划删除密钥 密钥一旦删除,将无法恢复,使用该密钥加密的内容及产生的数据密钥也将无法解密。因此,KMS只提供计划删除密钥的方式,而不提供直接删除的方式。如果需要删除密钥,推荐您使用禁用密钥功能。说明 请确保密钥已经关闭删除保护...
数据传输加密
数据动态加密的最佳实践如下:选择数据加密密钥 阿里云密钥管理服务提供了不同类型的密钥用于云产品加密和应用加密场景,需要注意的是阿里云密钥管理服务提供的默认密钥仅能用于云产品加密,不能用于应用加密。密钥类别 密钥规格 加密方式 ...
DisableKey
使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56ef-12345678*的主密钥进行加解密。调试 您可以在OpenAPI ...
AdvanceDecrypt
将使用KMS密钥加密的密文解密为明文。使用说明 当您调用 AdvanceEncrypt、AdvanceGenerateDataKey、Encrypt 或 GenerateDataKey,并使用KMS软件密钥管理实例中的对称密钥进行加密时,支持通过本接口解密。关于密钥规格以及加密模式的详细...
应用场景
我希望敏感数据被加密保护,而加密密钥则通过KMS来保护。敏感数据加密保护 IT运维人员 为部署在云上的IT设施提供安全的环境。云上的IT设施与其他租户共享,我无法像传统自建机房那样,在云上建立物理的安全边界。但是我仍然需要为云上的...
使用多个地域的CMK加密和解密数据
使用加密SDK,您可以配置多个地域的KMS用户主密钥(CMK)来加密数据,构建跨地域的数据加密解密能力。使用场景 在下列情形中,您可以通过加密SDK配置对应地域的KMS CMK,完成对敏感数据(例如:数据库列或字段、OSS对象等)的加密,使得...
日志服务概述
AdvanceDecrypt 将使用KMS密钥加密的密文解密为明文。仅当密钥为软件密钥管理实例的对称密钥时支持使用该接口。AdvanceGenerateDataKey 用于生成数据密钥。仅当密钥为软件密钥管理实例的对称密钥时支持使用该接口。GenerateDataKeyPair ...
密钥管理快速入门
您可以使用 Key Management Service 轻松地创建密钥,使用密钥加密、解密业务数据,保护您的数据安全。本文介绍如何创建及使用密钥。概述 KMS提供默认密钥、软件密钥和硬件密钥三种密钥管理类型,以满足不同业务场景、安全与合规要求。更多...
密钥管理
密钥的有效保护措施分为密钥加密、密钥托管(动态获取密钥,称之为凭据)、凭据轮转,以及访问控制和审计。不安全使用密钥的场景包括:将密钥明文写在代码中;直接使用AccessKey/SecretKey调用;AccessKey/SecretKey没有区分应用或使用环境...
特殊场景下的复制行为
数据复制结合服务器端加密 相同账号下的数据复制支持复制未加密的对象和使用KMS托管密钥加密、OSS完全托管加密(SSE-OSS)进行服务器端加密的对象。更多信息,请参见 服务器端加密。数据复制结合服务器端加密的使用场景中,会出现以下几种...
数据加密
主密钥用于生成随机的数据加密密钥,加密后的内容会当作Object的元数据保存在服务端。解密时先用主密钥将加密后的随机密钥解密出来,再用解密出来的随机数据加密密钥明文解密Object的数据。主密钥只参与客户端本地计算,不会在网络上进行...
密钥管理类型和密钥规格
支持的对称密钥规格 对称密钥加密是最常用的敏感数据加密保护方式之一,加密过程和解密过程使用相同的密钥内容,KMS可以安全保管对称密钥的密钥材料以防止被非法窃取或使用,确保被加密数据的安全。对称密钥主要用于数据的加密保护场景,...
ScheduleKeyDeletion
主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。如果您有删除密钥方面的需求,可以通过 DisableKey 禁用密钥。在申请删除...
ScheduleKeyDeletion
主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。如果您有删除密钥方面的需求,可以通过 DisableKey 禁用密钥。在申请删除...
NEW_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
产品优势
通过一方集成,您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据,只需要付出密钥的管理成本,无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。更多信息,请参见 云产品集成KMS加密概述 和 ...
网关侧加密
密钥轮转周期 在 密钥轮转 选择 是 时可设置,用于网关生成新数据密钥加密数据的周期,单位为秒。取值范围:3600秒~31104000秒(360天)在 基本信息 页签中完成配置,然后单击 下一步。说明 有关该页签中的详细配置说明,请参见 基本信息...
KEYSET_TO_JSON
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
视频加密常见问题
自定义密钥 加密的明文密钥必须使用 GenerateKMSDataKey-创建KMS数据密钥 接口生成,不能使用自定义字符串生成加密密钥,否则加密转码失败。加密失败 标准加密转码失败或没有任何加密文件生成,请确认 GenerateKMSDataKey-创建KMS数据密钥 ...
数据加密
数据加密机制 日志服务支持如下两种加密类型机制:通过日志服务自带的服务密钥加密 日志服务为每个Logstore生成独立的数据加密密钥,用于数据加密。该加密密钥永不过期。支持的数据加密算法为AES算法(默认)和国密算法SM4。通过用户自带...
ECS数据加密的应用
自定义密钥BYOK 在ECS控制台上首次选择其他用户主密钥加密云盘时,需要单击 去授权,根据页面引导为ECS授权 AliyunECSDiskEncryptDefaultRole 角色,允许ECS访问您的KMS资源。关于角色的更多信息,请参见 访问控制RAM介绍。在KMS控制台创建...
导入对称密钥材料
步骤三:加密密钥材料 使用 步骤二:下载公钥和导入令牌 下载的公钥加密密钥材料。下面以使用OpenSSL生成密钥材料,并通过RSA公钥、RSAES_OAEP_SHA_256算法加密密钥材料为例。使用OpenSSL产生一个32字节的随机数,生成一个密钥材料。如果您...
服务器端加密
为了提升安全性,OSS还会使用定期轮转的主密钥对加密密钥本身进行加密。OSS负责生成和管理数据加密密钥,并采用高强度、多因素的安全措施进行保护。配置方式如下:配置云盒Bucket默认加密方式 配置云盒Bucket默认加密方式为SSE-OSS,并指定...
备份NAS文件
使用KMS密钥加密备份库,您需要提前创建阿里云KMS服务的KMS加密密钥ID。更多信息,请参见 创建密钥。备份计划名称 为该备份计划命名。可不填,默认名字随机分配。备份目录规则 选择 全部目录 或 指定目录。该场景下选择 指定目录,填写待...
备份NAS文件
使用KMS密钥加密备份库,您需要提前创建阿里云KMS服务的KMS加密密钥ID。更多信息,请参见 创建密钥。备份计划名称 为该备份计划命名。可不填,默认名字随机分配。备份目录规则 选择 全部目录 或 指定目录。该场景下选择 指定目录,填写待...
客户端加密
主密钥用于生成随机的数据加密密钥,加密后的内容会当作Object的meta信息保存在服务端。解密时先用主密钥将加密后的随机密钥解密出来,再用解密出来的随机数据加密密钥明文解密Object的数据。主密钥只参与客户端本地计算,不会在网络上进行...
ADD_KEY_TO_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
对OSS进行客户端加解密
使用场景 当使用KMS托管用户主密钥用于客户端数据加密时,无需向加密客户端提供任何加密密钥,只需在上传对象时指定KMS用户主密钥资源名称(CMK ARN)即可。加密机制 获取加密密钥。通过使用CMK ARN,加密SDK(Encryption SDK)首先向KMS...
保障审计的安全性
如果您需要使用可以直接管理的加密密钥,可以使用KMS托管密钥进行加解密(SSE-KMS)。您可以进行以下操作:在OSS控制台创建开启服务端加密的存储空间,然后在操作审计控制台创建跟踪并将事件投递到该存储空间。在操作审计控制台创建跟踪时...
烧录ID²到芯片
返回示例:成功:{“code”:200,“msg”:“succcess”,“value”:[{“id2”:“xxx”,“privateKey”:“xxx”,->ID²密钥,经许可证公钥加密“kcv”:“xxx”->密钥校验,ID²密钥加密ID:1.RSA/ECB/PKCS1Padding 2.AES/ECB/PKCS5Padding 3....
- 产品推荐
- 这些文档可能帮助您