云产品集成KMS加密概述
其中数据密钥密文,是由指定的密钥加密数据密钥明文生成的。云产品使用数据密钥明文加密数据明文,并将数据密钥密文(由KMS使用密钥加密)与数据密文(由云产品使用数据密钥加密)一同写入持久化存储介质中。说明 信封加密中的“信封”是指...
概述
在多层次的密钥管理结构中,用户主密钥位于顶层,不直接用于日常的加密操作,而是用于加密和解密其他下级密钥(即密钥加密密钥和数据密钥),这种分层的方法可以简化密钥管理,提高密钥存储的安全性。用户主密钥由通用工具(例如:OpenSSL...
基本概念
信封加密(Envelope Encryption)当您需要加密业务数据时,您可以调用 GenerateDataKey 或 GenerateDataKeyWithoutPlaintext 生成一个对称密钥,同时使用指定的用户主密钥加密该对称密钥(被密封的信封保护)。在传输或存储等非安全的通信...
API概览
API 描述 AdvanceEncrypt 用于将明文数据通过KMS密钥加密为密文。重要 如果密钥开启了自动轮转,请您使用AdvanceEncrypt、AdvanceDecrypt和AdvanceGenerateDataKey接口,以避免轮转功能不生效。关于密钥轮转的相关内容,请参见 密钥轮转。...
自动轮转密钥
对于历史版本密钥加密后密文,您可以通过 ReEncrypt 将数据转换为当前版本密钥进行加密。主密钥状态对轮转的影响 只有在启用状态的主密钥(KeyState 为 Enabled)才能产生新的密钥版本。您需要注意以下情形:如果一个主密钥处于 Disabled ...
密钥管理常见问题
针对自行导入密钥材料的密钥,密钥删除后,即使您创建新密钥并导入了同一个密钥材料,使用原密钥加密的数据也无法解密。说明 如果您仅删除了自行导入的密钥材料,没有删除密钥,可以再次为该密钥导入同一个密钥材料,使得该密钥可用,使用...
密钥管理类型和密钥规格
支持的对称密钥规格 对称密钥加密是最常用的敏感数据加密保护方式之一,加密过程和解密过程使用相同的密钥内容,KMS可以安全保管对称密钥的密钥材料以防止被非法窃取或使用,确保被加密数据的安全。对称密钥主要用于数据的加密保护场景,...
删除密钥材料
当您导入密钥材料后,可以直接删除密钥材料,此时密钥将无法继续使用,由该密钥加密的密文也无法被解密。本文为您介绍如何删除密钥材料。前提条件 请确保您已经导入密钥材料。具体操作,请参见 导入密钥材料。背景信息 当您导入密钥材料后...
密钥轮转概述
实现安全目标 您可以通过周期性轮转密钥,达成以下安全目标:减少每个密钥加密的数据量 一个密钥的安全性与被它加密的数据量呈反相关。数据量通常是指同一个密钥加密的数据总字节数或总消息数。例如,NIST将GCM模式下一个密钥的安全生命...
密钥管理服务如何删除密钥
详细信息 密钥管理服务主密钥一旦删除,将无法恢复,使用该主密钥加密的内容及产生的数据密钥也将无法解密。因此,对于主密钥的删除,KMS只提供计划删除密钥的方式(周期为7~30天),而不提供直接删除的方式,详情请参见 计划删除密钥。...
客户端加密
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
管理密钥
计划删除密钥 警告 系统会在预删除周期后删除密钥,使用该密钥加密的内容及产生的数据密钥也将无法解密。删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。密钥删除后将无法恢复,使用该密钥加密的内容及产生的数据密钥也将...
服务器端加密
NAS托管密钥 使用NAS完全托管的密钥加密每个文件系统。该密钥由NAS在KMS(Key Management Service)服务中进行创建和管理,您可以查看密钥并审计密钥的使用权限,但无法删除、禁用该密钥。用户管理密钥 使用您托管给KMS服务的用户管理密钥...
计划删除密钥
操作步骤 警告 系统会在预删除周期后删除密钥,使用该密钥加密的内容及产生的数据密钥也将无法解密。删除密钥前,请确认该密钥已不再使用,否则会导致您的业务不可用。登录 密钥管理服务控制台。在页面左上角的地域下拉列表,选择密钥所在...
客户端加密
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
客户端加密
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
客户端加密
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
高性能版Spark全密态计算引擎使用示例
参数说明:参数 是否必填 说明 parquet.encryption.column.keys 是 使用密钥ID所对应的主密钥加密列。一个主密钥可加密多个列,主密钥ID和列名之间用 半角冒号(:)分隔,加密列之间用半角逗号(,)分隔,不同主密钥之间用半角分号;分隔。...
密钥轮转
数据量通常是指同一个密钥加密的数据总字节数。通过定期轮转密钥,可使每个密钥具有更小的密码分析攻击面,使加密方案整体具有更高的安全性。提前具备响应安全事件的能力。在系统设计和实现时引入密钥轮转的功能,使密钥轮转作为常规的系统...
ACK集群配置Secret的落盘加密
应用场景 在ACK Pro集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥,保障数据安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测...
管理密钥
计划删除密钥 密钥一旦删除,将无法恢复,使用该密钥加密的内容及产生的数据密钥也将无法解密。因此,KMS只提供计划删除密钥的方式,而不提供直接删除的方式。如果需要删除密钥,推荐您使用禁用密钥功能。说明 请确保密钥已经关闭删除保护...
仓库加密
云效自管理密钥加密 如果不希望依赖 KMS 进行加密,云效 Codeup 同时也支持使用自管理的密钥进行加密,保障数据以加密形式存储在服务端。如选择使用自管理密钥加密,在仓库中开启加密开关时,云效将自动生成一个密钥,并用此密钥进行加密...
NEW_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
KEYSET_TO_JSON
将BINARY类型的密钥Keyset转化为可读的JSON格式,以便查看密钥Keyset详情。命令格式 string KEYSET_TO_JSON(binary,)参数说明 keyset:必填,已有的Keyset,类型为:BINARY。返回值说明 返回JSON格式的Keyset,部分参数说明如下:key_id:...
HLS标准加密
Service Key是密钥管理服务的一种加密主Key,接入标准加密的密钥必须要使用该Service Key生成,若不创建Service Key,则后续调用 GenerateKMSDataKey-创建KMS数据密钥 接口生成密钥时将会报错。登录 视频点播控制台,选择 配置管理>媒体...
基础版Spark全密态计算引擎使用示例
AnalyticDB MySQL 湖仓版(3.0)基础版的Spark全密态计算引擎可以加密敏感数据,并将数据以密文的形式传输和存储,只有密钥拥有者才能解密数据,避免数据泄露。本文 以云数据库RDS MySQL例,介绍使用基础版Spark全密态计算引擎加密数据,...
OSS存储空间使用自定义KMS密钥加密
OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。应用场景 因安全合规要求,OSS存储空间需要使用自定义KMS密钥加密,保证业务数据的存储安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测...
ADD_KEY_TO_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
KEYSET_FROM_JSON
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
烧录ID²到芯片
返回示例:成功:{“code”:200,“msg”:“succcess”,“value”:[{“id2”:“xxx”,“privateKey”:“xxx”,->ID²密钥,经许可证公钥加密“kcv”:“xxx”->密钥校验,ID²密钥加密ID:1.RSA/ECB/PKCS1Padding 2.AES/ECB/PKCS5Padding 3....
集成GoLang_EncMySQL
重要 用户主密钥是访问加密数据的根凭据,出于安全考虑,全密态数据库不持有并管理用户的主密钥,也不提供用户主密钥的生成和备份服务,您需要自行生成用户主密钥。一旦您丢失密钥,将无法再访问已有的数据。因此,建议您妥善备份用户主...
TDE透明数据加密
KEK_HMAC(Hash-based Message Authentication Code of Key Encryption Key)基于哈希消息认证码算法生成的密钥加密密钥摘要。ENCMDEK和HMACK经过HMAC算法生成KEK_HMAC,用于还原密钥时的校验信息。ENCMDEK(Encode Memory Data Encryption...
ROTATE_KEYSET
ROTATE_WRAPPED_KEYSET 解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。USE_WRAPPED_KEYSET 将封装密钥集转换为基础密钥集,作为加解密函数的参数使用,您也可通过此函数,获得封装密钥集相关的信息,并保存起来,...
ROTATE_WRAPPED_KEYSET
MaxCompute支持结合密钥管理服务(KMS)做密钥管理,本文为您介绍封装密钥集函数 ROTATE_WRAPPED_KEYSET:解密已有的加密密钥集(KEYSET),并进行密钥轮转,然后通过新密钥加密。背景与前提 MaxCompute支持结合密钥管理服务做密钥管理,...
客户端加密
OSS客户端加密是在数据上传至OSS之前,由用户在本地对数据进行加密处理,确保只有密钥持有者才能解密数据,增强数据在传输和存储过程中的安全性。免责声明 使用客户端加密功能时,您需要对主密钥的完整性和正确性负责。因您维护不当导致主...
使用EVSM实现应用层敏感数据加解密
取值:000:ZMK/KEK 001:ZPK 002:PVK/TPK/TMK 003:TAK 008:ZAK 009:BDK 00A:ZEK/DEK 00B:TEK 011:KMC 109:MK-AC/MDK 10C:HMAC 209:MK-SMI 309:MK-SMC 402:CVK 409:MK-DAK 509:MK-DN algFlag char 在LMK下加密的密钥密文标识...
专属KMS Python SDK
dkms-gcs-python2 初始化SDK 您可以初始化一个专属KMS标准版实例的Python客户端,用于调用专属KMS标准版实例管理的密钥等资源。使用Python SDK发起专属KMS API请求,您需要初始化一个Client实例,并根据需要修改Config的默认配置项。配置CA...
专属KMS Python SDK
dkms-gcs-python2 初始化SDK 您可以初始化一个专属KMS基础版实例的Python客户端,用于调用专属KMS基础版实例管理的密钥等资源。使用Python SDK发起专属KMS API请求,您需要初始化一个Client实例,并根据需要修改Config的默认配置项。配置CA...
专属KMS PHP SDK
代码示例 专属KMS标准版Client调用Encrypt接口使用对称密钥加密数据 详细代码示例,请参见 原始代码。php require __DIR__ . '/vendor/autoload.php';use AlibabaCloud\Dkms\Gcs\Sdk\Models\EncryptRequest;encryptRequest=new ...
专属KMS PHP SDK
代码示例 专属KMS基础版Client调用Encrypt接口使用对称密钥加密数据 详细代码示例,请参见 原始代码。php require __DIR__ . '/vendor/autoload.php';use AlibabaCloud\Dkms\Gcs\Sdk\Models\EncryptRequest;encryptRequest=new ...
- 产品推荐
- 这些文档可能帮助您