API概览
密码运算 使用密钥进行密码运算,例如:数据的加密和解密。KMS API 专属KMS API 当您使用专属KMS对数据进行密码运算时,需要选用专属KMS API,否则需选用KMS API。二者虽然功能相似,但是数据格式不同,因此不能混用。KMS API支持通过 KMS...
设置密钥策略
设置密钥使用者 示例表示允许RAM用户(key_ramuser2)、RAM角色(key_ramrole2)使用密钥进行密码运算操作。{"Action":["kms:Encrypt","kms:Decrypt","kms:GenerateDataKey","kms:GenerateAndExportDataKey","kms:AsymmetricEncrypt","kms:...
功能特性
管理KMS实例 密钥管理 KMS提供密钥安全托管和使用密钥进行密码运算的能力。不仅可为您提供云产品服务端数据加密保护所需的密钥管理功能,还可为您提供在自建应用程序中使用密钥对数据进行数字签名、加密、解密等密码运算。密钥服务概述 ...
什么是密钥管理服务
业务组件 说明 参考文档 密钥管理 KMS提供密钥安全托管和使用密钥进行密码运算的能力。不仅可为您提供云产品服务端数据加密保护所需的密钥管理功能,还可为您提供在自建应用程序中使用密钥对数据进行数字签名、加密、解密等密码运算。密钥...
开启透明数据加密TDE
在弹出的对话框中,选择 使用自动生成密钥 或 使用自定义密钥,然后单击 确定。图 2.开启TDE选择密钥 说明 如果您的阿里云账号首次为 Tair 实例开启TDE功能,请根据页面弹出的提示完成授权(授权的角色为 ...
开启透明数据加密TDE
在弹出的对话框中,选择 使用自动生成密钥 或 使用自定义密钥,然后单击 确定。图 2.开启TDE选择密钥 说明 如果您的阿里云账号首次为Redis实例开启TDE功能,请根据页面弹出的提示完成授权(授权的角色为 ...
设置透明数据加密TDE
使用自动生成密钥:使用系统自动生成的密钥。使用自定义密钥:根据业务需要,在下拉列表中选择密钥。如果下拉列表中不存在目标密钥,您可以先创建密钥,然后进行选择。创建方法请参见 创建密钥。单击 确定。实例进入 TDE修改中 状态,当...
Redis实例使用自定义密钥开启TDE加密
Redis实例使用自动生成密钥开启TDE加密,视为“不合规”。关于如何修正该问题,请参见 修正指导。规则详情 参数 说明 规则名称 Redis实例使用自定义密钥开启TDE加密 规则标识 redis-instance-enabled-byok-tde 标签 Redis 自动修正 不支持 ...
ALIYUN:KMS:Secret
EnableAutomaticRotation Boolean 否 否 是否开启自动密钥轮转。取值:true:开启自动密钥轮转。false(默认值):关闭自动密钥轮转。RotationInterval String 否 否 凭据自动轮转的周期。格式为 integer[unit],其中 integer 表示时间长度...
应用场景
作为首席风险官(CRO),我希望IT系统满足针对信息系统安全保护的要求,包括:恰当地使用密码技术和密钥管理设施对重要数据进行加密保护,并可对密钥进行完全的访问控制和安全审计。对数据库账号口令、服务器账号口令、SSH Key等凭据信息...
DescribeKey
调用DescribeKey接口查询用户主密钥(CMK)详情。本文将提供一个示例,为您查询ID为 05754286-3ba2-4fa6-8d41-4323aca6*的用户主密钥的详情,包括创建者、创建时间、密钥状态、删除保护状态等信息。调试 您可以在OpenAPI Explorer中直接...
DescribeKey
调用DescribeKey接口查询用户主密钥(CMK)详情。本文将提供一个示例,为您查询ID为 05754286-3ba2-4fa6-8d41-4323aca6*的用户主密钥的详情,包括创建者、创建时间、密钥状态、删除保护状态等信息。调试 您可以在OpenAPI Explorer中直接...
如何制作CSR文件
根据提示输入密钥密码。执行以下命令,生成CSR文件。keytool-certreq-sigalg SHA256withRSA-alias[$Alias]-keystore[$Keytool_Path]-file[$Keytool_CSR]说明 sigalg:摘要算法。[$Keytool_CSR]:CSR文件存放路径。根据提示输入证书密码,...
高性能版Spark全密态计算引擎使用示例
一个主密钥可加密多个列,主密钥ID和列名之间用 半角冒号(:)分隔,加密列之间用半角逗号(,)分隔,不同主密钥之间用半角分号;分隔。parquet.encryption.footer.key 是 Footer密钥,用来加密Parquet文件的元数据等信息。说明 Footer是...
客户端加密
背景信息 使用客户端加密时,会为每个Object生成一个随机数据加密密钥,用该随机数据加密密钥明文对Object的数据进行对称加密。主密钥用于生成随机的数据加密密钥,加密后的内容会当作Object的meta信息保存在服务端。解密时先用主密钥将...
ECS数据加密的应用
在密钥失效前,推荐您使用禁用密钥功能,或者自行排查该密钥是否存在关联使用的云资源,避免密钥丢失后数据不可恢复。警告 因用户手动创建的BYOK密钥可被用户进行删除、禁用等操作导致密钥失效,当密钥失效后会存在已创建的加密云盘、加密...
客户端加密
背景信息 使用客户端加密时,会为每个Object生成一个随机数据加密密钥,用该随机数据加密密钥明文对Object的数据进行对称加密。主密钥用于生成随机的数据加密密钥,加密后的内容会当作Object的meta信息保存在服务端。解密时先用主密钥将...
导入发布包
系统生成的密钥自动刷新,手动生成的密钥导入后手动更新:自动刷新由系统自动生成密钥的密钥值,手动生成的密钥需要在导入后手动设置。已有密钥 针对目标环境中已经存在的密钥,以当前目标环境的密钥值为准,跳过不更新。识别结果 针对导入...
导入发布包
系统生成的密钥自动刷新,手动生成的密钥导入后手动更新:自动刷新由系统自动生成密钥的密钥值,手动生成的密钥需要在导入后手动设置。已有密钥 针对目标环境中已经存在的密钥,以当前目标环境的密钥值为准,跳过不更新。识别结果 针对导入...
PCI-DSS数据安全标准合规包
密钥管理服务设置主密钥自动轮转 对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。KMS主密钥开启删除保护 KMS主密钥开启删除保护,视为“合规”。OSS存储空间使用自定义KMS密钥加密 OSS存储空间使用了自定义的KMS密钥加密,视为...
客户端加密
背景信息 使用客户端加密时,会为每个Object生成一个随机数据加密密钥,用该随机数据加密密钥明文对Object的数据进行对称加密。主密钥用于生成随机的数据加密密钥,加密后的内容会当作Object的meta信息保存在服务端。解密时先用主密钥将...
什么是公钥和私钥?
使用密钥对的时候,如果用其中一个密钥加密一段数据,只能使用密钥对中的另一个密钥才能解密数据。例如:用公钥加密的数据必须用对应的私钥才能解密;如果用私钥进行加密也必须使用对应的公钥才能解密,否则将无法成功解密。SSL证书的原理 ...
使用KMS密钥进行信封加密
信封加密流程 应用程序通过KMS实例SDK调用 GenerateDataKey 接口生成数据密钥,然后通过第三方密码算法库或密码模块产品使用数据密钥对数据进行加密,最后将数据密钥密文作为信封和数据密文组装在一起。具体流程见下图。应用程序调用 ...
使用托管密码机
管理和使用密钥 密钥管理服务支持的所有管理类功能和密码运算功能都适用于您在托管密码机中创建的密钥,具体功能如下:密钥状态的开启和禁用 密钥的生命周期管理 密钥的别名管理 密钥的云标签管理 密码运算接口的调用 和其他云产品的集成 ...
入门概述
使用密钥管理服务KMS(Key Management Service),帮助您轻松加密保护敏感的数据资产。本文为您介绍一系列入门操作,方便您快速上手和使用。开通密钥管理服务 开通密钥管理服务 密钥管理服务需要开通后才能使用。开通密钥管理服务 管理和...
通过密码或密钥认证登录Windows实例
密码指纹 根据认证材料的密码或者密钥,自动生成密码指纹。单击 确定。在 登录实例 对话框中,选择新增的凭据,然后单击 确定。使用Workbench连接Windows实例时相关安全组规则的详情 安全组规则详情和网络类型有关:如需连接专有网络实例,...
通过密码或密钥认证登录Linux实例
密码指纹 根据认证材料的密码或者密钥,自动生成密码指纹。可选:您可以单击 添加材料,继续添加多个认证材料。每一个凭据至少保留一个认证材料。单击 确定。在 登录实例 对话框中,选择新增的凭据,然后单击 确定。如果已有凭据:配置登录...
在阿里云APP上使用Workbench登录实例
密码指纹 根据认证材料的密码或者密钥,自动生成密码指纹。说明 您可以单击 增加,继续添加多个认证材料。每一个凭据需至少保留一个认证材料。单击 保存。您可以在凭据列表查看已新增的凭据信息,也可以根据需要禁用、修改、删除已有凭据。
密钥及凭据使用指导
密钥使用快速指导 凭据使用快速指导
性能数据
密码运算操作 使用对称密钥进行生成数据密钥、加密、解密等操作。列表中的API接口共享这一组配额。说明 仅支持在云产品服务端加密时使用这组接口。更多信息,请参见 云产品集成KMS加密概述。Encrypt GenerateDataKey ...
概述
全密态数据库在查询返回标记的敏感数据时,使用用户密钥,自动对敏感数据进行加密,加密后内容仅持有密钥的用户可以解密获得对应的明文内容。因此,即使数据库账号泄露,也无法看到查询结果中的敏感数据内容,甚至数据库研发运维人员也只能...
别名概述
当一个别名与某一个用户主密钥相关联时,在以下API接口中,可以将访问参数中的密钥ID用别名代替:DescribeKey Encrypt GenerateDataKey GenerateDataKeyWithoutPlaintext 说明 当RAM用户使用别名代替密钥ID进行上述操作时,RAM用户必须拥有...
设置透明数据加密
使用由阿里云自动生成的密钥:该方式使用的加密密钥(KEK)为KMS的服务密钥。使用已有自定义密钥:该方式使用的加密密钥(KEK)为您上传至KMS的自定义密钥(CMK)。如果没有自定义密钥,需要单击 前往创建,在密钥管理服务控制台创建密钥并...
应用场景
托管密码机概述 使用托管密码机 密钥轮转 KMS内置了加密密钥的自动轮转功能,企业可以自定义轮转策略,快速满足数据安全规范和最佳实践。密钥轮转概述 自动轮转密钥 凭据轮转 通过使用凭据管家,轻松满足对口令、访问密钥等凭据的轮转要求...
密钥管理服务系统权限策略参考
本策略定义了使用KMS的密钥进行密码运算的权限。查看策略详情 AliyunKMSFullAccess 您可以将 AliyunKMSFullAccess 策略授权给RAM身份。本策略定义了管理密钥管理服务(KMS)的权限。查看策略详情 AliyunKMSReadOnlyAccess 您可以将 ...
阿里云SDK概览
应用程序也支持集成阿里云SDK,使用这类密钥进行密码运算操作,以及获取该类凭据的凭据值。具体接口,请参见 API概览。支持的语言类型 下表列举了支持的语言类型,以及各语言SDK的下载地址和参考文档。支持的语言 阿里云SDK(V2.0版本)...
创建和更换密钥(Linux)
阿里云SSH密钥对是一种...相关操作 为轻量应用服务器创建密钥且重启服务器使密钥生效后,服务器会自动禁止使用 root 用户及密码登录。如果您需要重新启用密码登录方式,需要修改服务器内的配置文件。具体操作,请参见 重新启用密码登录方式。
使用OpenAPI示例
AliyunKMSCryptoUserAccess:使用KMS的密钥进行密码运算的权限。AliyunKMSSecretUserAccess:获取KMS中的凭据的权限。AliyunKMSSecretAdminAccess:在KMS中管理凭据的权限。关于如何创建自定义权限,请参见 使用RAM实现对资源的访问控制。...
GenerateDataKey
重要 如果密钥为软件密钥管理实例的对称密钥,且开启了自动轮转,生成数据密钥时请使用AdvanceGenerateDataKey,以避免轮转功能不生效。关于密钥轮转的相关内容,请参见 密钥轮转。请求参数 名称 类型 是否必选 示例值 描述 KeyId string ...
应用接入常见问题
调用KMS接口时出现UnsupportedOperation报错 可能原因 解决方案 应用程序调用KMS实例中创建的密钥进行密码运算时,使用了阿里云SDK。请使用KMS实例SDK,调用您在KMS实例中创建的密钥进行密码运算。更多信息,请参见 KMS实例SDK。应用程序...
- 产品推荐
- 这些文档可能帮助您