全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网

使用场景

更新时间:2017-06-30 11:15:46

图例说明

图例 含义 图例 含义
用户主密钥(CMK) 密文数据密钥
明文证书 明文文件
密文证书 密文文件
明文数据密钥

直接使用KMS加密、解密

用户可以直接调用KMS的API,使用指定的CMK来加密、解密数据。这种场景适用于少量(少于4KB)数据的加解密,用户的数据会通过安全信道传递到KMS服务端,对应的结果将在服务端完成加密、解密后通过安全信道返回给用户。

场景举例:保护服务器HTTPS证书

流程:

  1. 首先用户需要创建一个主密钥。
  2. 调用KMS服务的Encrypt接口将明文证书加密为密文证书。
  3. 用户在服务器上部署密文证书。
  4. 当服务器启动需要使用证书时,调用KMS服务的Decrypt接口,将密文证书解密为明文证书。

使用信封加密在本地加密、解密

用户可以直接调用KMS的API,使用指定的CMK来产生、解密数据密钥,自行使用数据密钥在本地加解密数据。这种场景适用于大量数据的加解密,用户的数据无需通过网络传输大量数据,可以低成本的实现大量数据的加解密。

场景举例:加密本地文件

加密流程:

  1. 首先用户需要创建一个主密钥。
  2. 调用KMS服务的GenerateDataKey接口,产生数据密钥。这里用户能够得到一个明文的数据密钥和一个密文的数据密钥。
  3. 用户使用明文的数据密钥,加密文件,产生密文文件。
  4. 用户将密文数据密钥和密文文件一同存储到持久化存储设备或服务中。

解密流程:

  1. 用户从持久化存储设备或服务中读取密文数据密钥和密文文件。
  2. 调用KMS服务的Decrypt接口,解密数据密钥,取得明文数据密钥。
  3. 使用明文数据密钥解密文件。

注意事项:

  1. 验证阿里云服务端的HTTPS证书,防止钓鱼者窃取您的信息。
  2. 推荐使用RAM服务子账号功能,实现最小权限原则。
本文导读目录