0005-00000215
问题描述 OSS使用KMS密钥加密后上传、下载、访问文件时提示密钥状态为PendingDeletion。问题原因 数据加密场景下,使用KMS托管密钥进行加解密,如果请求携带的KMS密钥处于待删除(PendingDeletion)状态,将会返回该错误,错误码为409。...
0005-00000217
问题描述 OSS使用KMS密钥加密后上传、下载、访问文件时提示密钥alias不存在。问题原因 数据加密场景下,使用KMS托管密钥进行加解密,如果请求携带的KMS密钥alias未创建或者已被删除,则会返回404,alias不存在。问题示例 当您在设置了...
基本概念
信封加密(Envelope Encryption)当您需要加密业务数据时,您可以调用 GenerateDataKey 或 GenerateDataKeyWithoutPlaintext 生成一个对称密钥,同时使用指定的用户主密钥加密该对称密钥(被密封的信封保护)。在传输或存储等非安全的通信...
计划删除密钥
操作步骤 警告 系统会在预删除周期后删除密钥,使用该密钥加密的内容及产生的数据密钥也将无法解密。删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在...
OSS存储空间开启服务端KMS加密
应用场景 因安全合规要求,OSS存储空间需要使用自建密钥加密时,可使用KMS托管密钥进行加密,实现静态数据加密,保证业务数据的存储安全。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 OSS...
数据加密
默认情况下云备份使用自行管理的密钥加密数据,您也可以使用自己账号的密钥管理服务KMS(Key Management Service)的密钥。KMS是阿里云提供的一款安全、易用的管理类服务,您无需花费大量成本来保护密钥的保密性、完整性和可用性。借助密钥...
什么是公钥和私钥?
使用密钥对的时候,如果用其中一个密钥加密一段数据,只能使用密钥对中的另一个密钥才能解密数据。例如:用公钥加密的数据必须用对应的私钥才能解密;如果用私钥进行加密也必须使用对应的公钥才能解密,否则将无法成功解密。SSL证书的原理 ...
自动轮转密钥
对于历史版本密钥加密后密文,您可以通过 ReEncrypt 将数据转换为当前版本密钥进行加密。主密钥状态对轮转的影响 只有在启用状态的主密钥(KeyState 为 Enabled)才能产生新的密钥版本。您需要注意以下情形:如果一个主密钥处于 Disabled ...
产品优势
通过一方集成,您可以很容易的使用KMS主密钥加密和控制您存储在这些服务中的数据,帮助您保持对云上计算和存储环境的控制,而您只需要付出密钥的管理成本,无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题...
常见问题
密钥管理常见问题 KMS是否支持删除密钥 用户主密钥(CMK)删除后,使用该密钥加密的用户数据及产生的数据密钥是否还可以解密 KMS如何保障密钥的安全性 KMS是否支持导入密钥材料 密钥状态为不可用或调用密钥相关API时返回“Rejected....
ACK集群配置Secret的落盘加密
应用场景 在ACK Pro集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥,保障数据安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测...
开启透明数据加密(内测中)
TDE加密使用的密钥由密钥管理服务(KMS)产生和管理,KMS为您提供一个主密钥,通过该密钥加密数据密钥,再通过数据密钥加密数据,这个流程叫做信封加密。在解密过程中先读取数据密钥密文,通过主密钥来解密数据密钥密文得到数据密钥明文,...
数据加密
服务器端加密 日志服务支持如下两种加密类型机制:通过日志服务自带的服务密钥加密 日志服务为每个Logstore生成独立的数据加密密钥,用于数据加密。该加密密钥永不过期。支持的数据加密算法为AES算法(默认)和国密算法SM4。通过用户自带...
创建密钥
您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。单击 创建密钥。在...
创建密钥
您可以使用密钥管理服务KMS(Key Management Service)轻松地创建密钥,使用密钥加密自己的数据。操作步骤 登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在的地域。在左侧导航栏,单击 用户主密钥。单击 创建密钥。在...
TDE透明数据加密
原理介绍 密钥管理模块 密钥结构 采用2层密钥结构,即密钥加密密钥和表数据加密密钥。表数据加密密钥是实际对数据库数据进行加密的密钥。密钥加密密钥则是对表数据加密密钥进行进一步加密的密钥。两层密钥的详细介绍如下:密钥加密密钥...
TDE透明数据加密
原理介绍 密钥管理模块 密钥结构 采用2层密钥结构,即密钥加密密钥和表数据加密密钥。表数据加密密钥是实际对数据库数据进行加密的密钥。密钥加密密钥则是对表数据加密密钥进行进一步加密的密钥。两层密钥的详细介绍如下:密钥加密密钥...
DisableKey
使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56ef-12345678*的主密钥进行加解密。调试 您可以在OpenAPI ...
DisableKey
使用说明:禁用主密钥后,原来使用该主密钥加密的密文无法解密。您可以调用 EnableKey 将主密钥恢复至启用状态,然后解密密文。本文将提供一个示例,禁用ID为 1234abcd-12ab-34cd-56ef-12345678*的主密钥进行加解密。调试 您可以在OpenAPI ...
特殊场景下的复制行为
数据复制结合服务器端加密 相同账号下的数据复制支持复制未加密的对象和使用KMS托管密钥加密、OSS完全托管加密(SSE-OSS)进行服务器端加密的对象。更多信息,请参见 服务器端加密。数据复制结合服务器端加密的使用场景中,会出现以下几种...
Encrypt
当密钥是对称密钥、加密算法(Algorithm)是AES_GCM或SM4_GCM时,您可以按需要使用本参数。重要 如果指定了本参数,调用 Decrypt 解密时需要指定相同的参数。PaddingMode string 否 PKCS7_PADDING 填充模式。仅当加密算法为AES_CBC或AES_...
密钥管理
密钥的有效保护措施分为密钥加密、密钥托管(动态获取密钥,称之为凭据)、凭据轮转,以及访问控制和审计。不安全使用密钥的场景包括:将密钥明文写在代码中;直接使用AccessKey/SecretKey调用;AccessKey/SecretKey没有区分应用或使用环境...
管理密钥
计划删除密钥 密钥一旦删除,将无法恢复,使用该密钥加密的内容及产生的数据密钥也将无法解密。因此,KMS只提供计划删除密钥的方式,而不提供直接删除的方式。如果需要删除密钥,推荐您使用禁用密钥功能。说明 请确保密钥已经关闭删除保护...
AdvanceDecrypt
将使用KMS密钥加密的密文解密为明文。使用说明 当您调用 AdvanceEncrypt、AdvanceGenerateDataKey、Encrypt 或 GenerateDataKey,并使用KMS软件密钥管理实例中的对称密钥进行加密时,支持通过本接口解密。关于密钥规格以及加密模式的详细...
ReEncrypt
将主密钥加密的数据或者数据密钥在KMS内部使用其它的主密钥进行重新加密。ReEncrypt权限设置如下:需要有操作源主密钥的kms:ReEncryptFrom权限。需要有操作目的主密钥的kms:ReEncryptTo权限。可以设置kms:ReEncrypt*用于表示上述两个操作的...
ReEncrypt
将主密钥加密的数据或者数据密钥在KMS内部使用其它的主密钥进行重新加密。ReEncrypt权限设置如下:需要有操作源主密钥的kms:ReEncryptFrom权限。需要有操作目的主密钥的kms:ReEncryptTo权限。可以设置kms:ReEncrypt*用于表示上述两个操作的...
应用场景
控制云上计算与存储环境有以下几种常见应用场景:应用场景 诉求 说明 参考文档 云服务器ECS场景 通过KMS密钥加密方式保护您在云上ECS系统盘、数据盘、快照及镜像数据安全,适用于数据安全和法规合规等场景。通过授权ECS使用KMS密钥,帮助...
NEW_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
密钥管理快速入门
您可以使用 Key Management Service 轻松地创建密钥,使用密钥加密、解密业务数据,保护您的数据安全。本文介绍如何创建及使用密钥。概述 KMS提供默认密钥、软件密钥和硬件密钥三种密钥管理类型,以满足不同业务场景、安全与合规要求。更多...
ScheduleKeyDeletion
主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。如果您有删除密钥方面的需求,可以通过 DisableKey 禁用密钥。在申请删除...
ScheduleKeyDeletion
主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除的方式,而不提供直接删除的方式。如果您有删除密钥方面的需求,可以通过 DisableKey 禁用密钥。在申请删除...
网关侧加密
密钥轮转周期 在 密钥轮转 选择 是 时可设置,用于网关生成新数据密钥加密数据的周期,单位为秒。取值范围:3600秒~31104000秒(360天)在 基本信息 页签中完成配置,然后单击 下一步。说明 有关该页签中的详细配置说明,请参见 基本信息...
高级管理FAQ
您可以在创建文件系统时,根据使用场景配置加密方式为 NAS托管密钥 或 用户管理密钥。具体操作,请参见 通过控制台创建通用型NAS文件系统 和 通过控制台创建极速型NAS文件系统。未开启服务器端加密功能的文件系统能否使用该功能?不能。...
KEYSET_TO_JSON
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
HLS标准加密
工作原理 视频点播采用信封数据加密的方式加密视频。业务方调用阿里云密钥管理服务(KMS)生成数据密钥(DK)和信封数据密钥(EDK),然后利用数据密钥(DK)加密视频,并将加密后的文件和信封数据密钥(EDK)存储。播放器终端通过解密服务...
服务器端加密
OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。加密算法:仅支持AES256。其他参数的配置说明,请参见 创建云盒Bucket。方式二:为已创建的Bucket开启服务器端加密 登录 OSS...
数据加密
数据加密机制 日志服务支持如下两种加密类型机制:通过日志服务自带的服务密钥加密 日志服务为每个Logstore生成独立的数据加密密钥,用于数据加密。该加密密钥永不过期。支持的数据加密算法为AES算法(默认)和国密算法SM4。通过用户自带...
ECS数据加密的应用
自定义密钥BYOK 在ECS控制台上首次选择其他用户主密钥加密云盘时,需要单击 去授权,根据页面引导为ECS授权 AliyunECSDiskEncryptDefaultRole 角色,允许ECS访问您的KMS资源。关于角色的更多信息,请参见 访问控制RAM介绍。在KMS控制台创建...
产品优势
通过一方集成,您可以很容易的使用KMS密钥加密和控制存储在这些服务中的数据,只需要付出密钥的管理成本,无需实施复杂的加密措施。同时集成加密解决了其他云产品中原生数据的加密保护问题。更多信息,请参见 云产品集成KMS加密概述 和 ...
对称加密概述
轮转对称加密密钥 KMS生成的对称主密钥支持多个密钥版本,同时支持用户主密钥基于密钥版本进行自动轮转,您可以自定义密钥轮转的策略。在CMK包含多个版本时,KMS的加密动作(例如:Encrypt、GenerateDataKey和...
- 产品推荐
- 这些文档可能帮助您