概述

數據加密服務中的密鑰管理服務（Key Management Service，KMS），是一種安全、可靠、簡單易用的密鑰托管服務，幫助您輕松創建和管理密鑰，保護密鑰的安全。

云服務與KMS集成后，您只需在決定加密云服務數據時，選擇一個KMS管理的用戶主密鑰，就可以輕松使用您選擇的用戶主密鑰加解密您存儲在這些云服務內的數據。

您可以選擇云服務自動通過KMS創建的默認密鑰，也可以選擇您通過KMS自行創建或導入的自定義密鑰。

原理介紹

云服務基于信封加密技術，通過調用KMS接口來加密云服務資源。由用戶管理自己的用戶主密鑰，云服務在擁有用戶授權的情況下，使用用戶指定的用戶主密鑰對數據進行加密。

加密流程說明如下：

1.用戶需要在KMS中創建一個用戶主密鑰。

2.云服務調用KMS的“create-datakey”接口創建數據加密密鑰。得到一個明文的數據加密密鑰和一個密文的數據加密密鑰。

                    
說明
                    
密文的數據加密密鑰是由指定的用戶主密鑰加密明文的數據加密密鑰生成的。
                    
                  
                  

3.云服務使用明文的數據加密密鑰來加密明文文件，得到密文文件。

4.云服務將密文的數據加密密鑰和密文文件一同存儲到持久化存儲設備或服務中。

                    
說明
                    
用戶通過云服務下載數據時，云服務通過KMS指定的用戶主密鑰對密文的數據加密密鑰進行解密，并使用解密得到的明文的數據加密密鑰來解密密文數據，然后將解密后的明文數據提供給用戶下載。
                    
                  
                  

OBS服務端加密

簡介

當您啟用服務端加密功能后，在上傳對象時，數據會在服務端加密成密文后存儲。在下載加密對象時，存儲的密文會先在服務端解密為明文，再提供給您。

KMS通過使用硬件安全模塊（HSM）保護密鑰安全的托管，幫助您輕松創建和管理加密密鑰。您的密鑰明文不會出現在HSM之外，避免密鑰泄露。KMS對密鑰的所有操作都會進行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足監督和合規性要求。

需要上傳的對象可以通過KMS提供密鑰的方式進行服務端加密。您首先需要在KMS中創建密鑰（或者使用KMS提供的默認主密鑰），當您在OBS中上傳對象時使用該密鑰進行服務端加密。

使用服務端加密方式上傳文件（控制臺）

步驟 1 在OBS管理控制臺桶列表中，單擊待操作的桶，進入“概覽”頁面。

步驟 2 在左側導航欄，單擊“對象”。

步驟 3 單擊“上傳對象”，系統彈出“上傳對象”對話框。

步驟 4 單擊“添加文件”，選擇待上傳的文件后，單擊“打開”。

步驟 5 在服務端加密行，選擇“SSE-KMS”，在下方的選擇框中選擇默認密鑰或者自定義密鑰，并單擊“上傳”，如圖所示。

密鑰名稱：自定義密鑰名稱，是用戶在數據加密服務中創建的密鑰，主要用于加密保護數據。OBS會提供一個名為“obs/default”的默認密鑰，用戶可以選擇使用默認密鑰加密上傳對象，也可以通過數據加密服務頁面創建的自定義密鑰加密上傳對象。

步驟 6 對象上傳成功后，可在對象列表中查看對象的加密狀態。

                    
說明
                    
對象的加密狀態不可以修改。
使用中的密鑰不可以刪除，如果刪除將導致加密對象不能下載。
                    
                  
                  

使用服務端加密方式上傳文件（API）

用戶也可以通過調用OBS API接口，選擇服務端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密鑰進行服務端加密）上傳文件，詳情請參考《對象存儲服務API參考》。

EVS服務端加密

簡介

當您由于業務需求需要對存儲在云硬盤的數據進行加密時，EVS為您提供加密功能，可以對新創建的云硬盤進行加密。加密云硬盤使用的密鑰由數據加密服務（DEW，Data Encryption Workshop）中的密鑰管理（KMS，Key Management Service）功能提供，無需您自行構建和維護密鑰管理基礎設施，安全便捷。

哪些用戶有權限使用云硬盤加密

• 安全管理員（擁有“Security Administrator”權限）可以直接授權EVS訪問KMS，使用加密功能。
• 普通用戶（沒有“Security Administrator”權限）使用加密功能時，根據該普通用戶是否為當前區域或者項目內第一個使用加密特性的用戶，作如下區分：
  • 是，即該普通用戶是當前區域或者項目內第一個使用加密功能的，需先聯系安全管理員進行授權，然后再使用加密功能。
  • 否，即區域或者項目內的其他用戶已經使用過加密功能，該普通用戶可以直接使用加密功能。

對于一個租戶而言，同一個區域內只要安全管理員成功授權EVS訪問KMS，則該區域內的普通用戶都可以直接使用加密功能。

如果當前區域內存在多個項目，則每個項目下都需要安全管理員執行授權操作。

云硬盤加密的密鑰

加密云硬盤使用KMS提供的密鑰，包括默認主密鑰和用戶主密鑰 (CMK，Customer Master Key)：

• 默認主密鑰：由EVS通過KMS自動創建的密鑰，名稱為“evs/default”。默認主密鑰不支持禁用、計劃刪除等操作。
• 用戶主密鑰：由用戶自己創建的密鑰，您可以選擇已有的密鑰或者新創建密鑰。

使用用戶主密鑰加密云硬盤，若對用戶主密鑰執行禁用、計劃刪除等操作，將會導致云硬盤不可讀寫，甚至數據永遠無法恢復，具體請參見下表。

用戶主密鑰不可用對加密云硬盤的影響

用戶主密鑰的狀態
對加密云硬盤的影響
恢復方法
禁用
若加密云硬盤此時掛載至云服務器，則該云硬盤仍可以正常使用，但不保證一直可以正常讀寫。
若卸載加密云硬盤后，再重新掛載至云服務器將會失敗。
啟用用戶主密鑰
計劃刪除
啟用用戶主密鑰
已經被刪除
取消刪除用戶主密鑰 云硬盤數據永遠無法恢復。

                    
說明
                    
用戶主密鑰為付費使用，若為按需計費的密鑰，請及時充值確保帳戶余額充足，若為包年/包月的密鑰，請及時續費，以避免加密云硬盤不可讀寫導致業務中斷，甚至數據永遠無法恢復。
                    
                  
                  

使用KMS加密云硬盤（控制臺）

步驟 1 在EVS管理控制臺，單擊“購買磁盤”。

步驟 2 配置“加密”參數。

• 展開“更多”，出現“加密”勾選框。

• 創建委托。
  勾選“加密”，如果當前未授權EVS訪問KMS，則會彈出“創建委托”對話框，單擊“是”，授權EVS訪問KMS，當授權成功后，EVS可以獲取KMS密鑰用來加解密云硬盤。

                    
說明
                    
當您需要使用云硬盤加密功能時，需要授權EVS訪問KMS。如果您有授權資格，則可直接授權。如果權限不足，需先聯系擁有“Security?Administrator”權限的用戶授權，然后再重新操作。
                    
                  
                  

• 設置加密參數。
  勾選“加密”，若已經授權，會彈出“加密設置”對話框。

密鑰名稱是密鑰的標識，您可以通過“密鑰名稱”下拉框選擇需要使用的密鑰。您可以選擇使用的密鑰如下：

• 默認主密鑰：成功授權EVS訪問KMS，系統會創建默認主密鑰“evs/default”。
• 用戶主密鑰：即您已有的密鑰或者新創建密鑰。

步驟 3 根據界面提示，配置云硬盤的其他基本信息。

IMS服務端加密

用戶可以采用加密方式創建私有鏡像，確保鏡像數據安全性。

約束條件

• 用戶已啟用數據加密服務。
• 加密鏡像不能共享給其他用戶。
• 加密鏡像不能發布到應用超市。
• 如果云服務器的系統盤已加密，那么使用該云服務器創建的私有鏡像也是加密的。
• 不能修改加密鏡像使用的密鑰。
• 加密鏡像使用的密鑰為禁用狀態或者被刪除時，該鏡像無法使用。
• 對于加密鏡像創建的彈性云服務器，其系統盤只能為加密狀態，且磁盤密鑰與鏡像密鑰一致。

使用KMS加密私有鏡像（控制臺）

創建加密鏡像分為通過加密彈性云服務器創建加密鏡像和通過外部鏡像文件創建加密鏡像。

1.通過加密彈性云服務器創建加密鏡像

用戶選擇彈性云服務器創建私有鏡像時，如果該云服務器的系統盤已加密，那么使用該云服務器創建的私有鏡像也是加密的。鏡像加密使用的密鑰為創建該系統盤時使用的密鑰。

2.通過外部鏡像文件創建加密鏡像

用戶使用OBS桶中已上傳的外部鏡像文件創建私有鏡像過程中，可以在注冊鏡像時勾選KMS加密完成鏡像加密。

用戶上傳鏡像文件時，可以選擇“KMS加密”，使用KMS提供的密鑰來加密上傳的文件，如下圖所示。

• 在IMS管理控制臺，單擊“創建私有鏡像”。
• “創建方式”選擇“系統盤鏡像”。
• “選擇鏡像源”為“鏡像文件”。
• 勾選“KMS加密”。密鑰名稱是密鑰的標識，您可以通過“密鑰名稱”下拉框選擇需要使用的密鑰。您可以選擇使用的密鑰如下：
  • 默認主密鑰：KMS為使用IMS（Image Management Service，IMS）的用戶創建一個默認主密鑰“ims/default”。
  • 用戶主密鑰：即您已有的密鑰或者新創建密鑰。
• 根據界面提示，配置其他信息。

RDS數據庫加密

簡介

關系型數據庫支持MySQL、PostgreSQL引擎。

當啟用加密功能后，用戶創建數據庫實例和擴容磁盤時，磁盤數據會在服務端加密成密文后存儲。用戶下載加密對象時，存儲的密文會先在服務端解密為明文，再提供給用戶。

約束條件

• 當前登錄用戶已通過統一身份認證服務添加關系型數據庫所在區域的KMS Administrator權限。
• 如果用戶需要使用自定義密鑰加密上傳對象，則需要先通過數據加密服務創建密鑰。
• 實例創建成功后，不可修改磁盤加密狀態，且無法更改密鑰。存放在對象存儲服務上的備份數據不會被加密。
• 關系型數據庫實例創建成功后，請勿禁用或刪除正在使用的密鑰，否則會導致服務不可用，數據無法恢復。
• 選擇磁盤加密的實例，新擴容的磁盤空間依然會使用原加密密鑰進行加密。

使用KMS加密數據庫實例（控制臺）

用戶在通過關系型數據庫（Relational Database Service，RDS）購買數據庫實例時，可以選擇“磁盤加密”，使用KMS提供的密鑰來加密數據庫實例的磁盤。

RDS服務端加密