全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多

使用场景

更新时间:2018-04-22 19:15:01

本文介绍KMS常见的两个使用场景:

  • 使用主密钥加密、解密数据。
  • 使用信封加密在本地加密、解密数据。

图例说明

图例 含义 图例 含义
用户主密钥(CMK) 密文数据密钥
明文证书 明文文件
密文证书 密文文件
明文数据密钥

使用主密钥加密、解密数据

适用于少量(小于4KB)数据的加解密。用户的数据会通过安全信道传递到KMS服务端,服务端完成加密、解密后,操作结果通过安全信道返回给用户。

场景举例:加密、解密服务器HTTPS证书

操作流程

  1. 通过KMS控制台,或者调用CreateKey,创建一个主密钥。
  2. 调用KMS服务的Encrypt接口,将明文证书加密为密文证书。
  3. 将密文证书部署在服务器上。
  4. 当服务器启动需要使用证书时,调用KMS服务的Decrypt接口,将密文证书解密为明文证书。

使用信封加密在本地加密、解密数据

使用KMS创建一个主密钥,使用主密钥生成一个数据密钥,再使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密。数据无须通过网络传输即可实现加解密,从而在保证安全性的同时降低了成本。

场景举例:加密本地文件

操作流程

  1. 通过KMS控制台,或者调用CreateKey,创建一个主密钥。
  2. 调用KMS服务的GenerateDataKey接口,产生一个数据密钥。KMS会返回一个明文的数据密钥和一个密文的数据密钥。
  3. 使用明文的数据密钥,加密文件,产生密文文件,然后删除本地的明文密钥。
  4. 用户将密文数据密钥和密文文件一同存储到持久化存储设备或服务中。
  5. 在本地解密数据:
    1. 调用Decrypt接口,将加密过的密钥解密为明文密钥。
    2. 用明文密钥为本地数据解密,再删除本地存储中的明文密钥。

说明:推荐使用RAM服务子账号功能进行操作,实现最小权限原则。

本文导读目录