文档中心

上云无忧 > 文档中心 > 天翼云密钥管理操作类常见问题QA
天翼云
密钥管理
简介/价格/文档
天翼云密钥管理操作类常见问题QA

文档简介:
本文汇总了密钥管理操作类常见问题。 Q:如何使用密钥实现数据加解密? A:KMS提供了REST(Representational State Transfer)风格API,支持通过HTTPS请求调用。用户可使用提供的API实现加解密运算等操作。
*产品来源:中国电信天翼云。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

如何使用密钥实现数据加解密?

KMS提供了REST(Representational State Transfer)风格API,支持通过HTTPS请求调用。用户可使用提供的API实现加解密运算等操作。

如何导入外部自带密钥?

创建密钥后,首先进入密钥详情页获取导入主密钥材料的参数,用户使用获取到的公钥加密自带密钥材料,然后在控制台密钥详情页,根据页面提示上传自带密钥材料即可。

如何删除密钥?

KMS不支持立即删除,仅支持计划删除,即用户需设置预删除周期(自定义7~30天),系统会在到期时自动删除密钥。

为什么KMS不支持立即删除密钥?

由于密钥删除后不可恢复,一旦删除密钥,所有使用该密钥加密的数据均无法解密,因此删除密钥的操作需要非常谨慎,KMS通过计划删除的机制,用户设置预删除周期,到达执行时间点,系统才会真正删除密钥,在此之前用户均可以取消删除计划。KMS通过这种方式来减少用户误操作所带来的损失。

KMS是否支持国密算法?

支持。KMS支持创建SM2、SM4类型的密钥,适用于数据加解密、签名验签等场景。

软件保护级别和硬件保护级别的区别是什么?

软件保护级别的密钥通过软件模块进行保护,其根密钥存储在软件文件系统中;硬件保护级别的密钥通过专用硬件保护密钥,其根密钥存储于密码机中且无法导出,所有涉及根密钥的使用过程均在密码机内部完成。

密钥自动轮转周期的可设置范围是什么?

7-730天。对称密钥支持设置自动轮转周期,周期最短为7天,最长为730天(2年)。

非对称密钥是否支持自动轮转?

非对称密钥不支持设置自动轮转,可以手动创建新的版本,并将新版本密钥的公钥分发出去。

什么情况下需要导入外部密钥?

当用户拥有自己的密钥材料,需要继续使用该密钥材料实现数据加解密,比如用户需要将本地加密数据迁移到云上时,云上云下共用同一个密钥材料,此时可以将密钥材料导入至KMS中进行托管,便于后续使用。

什么类型的密钥支持导入外部密钥材料?

当前AES_256类型的对称密钥,支持导入外部密钥材料。

外部导入的密钥材料是否支持自动轮转?

不支持。外部导入的密钥材料不支持自动轮转,无密钥版本概念。

当密钥材料被误删或已经过期导致密钥不可用,如何处理使密钥恢复可用?

密钥材料被删除或过期时,可以再次导入相同的密钥材料,成功后密钥将恢复可用。您需要自行备份密钥材料,以便密钥材料失效或误删除时进行重新导入。

当用户主密钥的密钥材料删除或过期后,是否可以导入其他的密钥材料到该主密钥中?

不可以。将密钥材料成功导入主密钥后,该主密钥与密钥材料永久关联,不能再将其他密钥材料导入该主密钥中。

具备相同密钥材料的不同用户主密钥,是否可以相互加解密数据?

不可以。用户主密钥具有唯一性,使用主密钥加密的数据,只能用相同的主密钥解密。即使其他主密钥具有相同的密钥材料,也无法解密该主密钥加密的数据。

用户主密钥别名的作用是什么?

为密钥创建别名方便用户管理密钥,一个别名对应唯一的用户主密钥。在通过openAPI调用KMS服务接口时,参数中的密钥ID可以用别名代替。

用户主密钥与别名的对应关系是什么?

一个用户主密钥可以绑定多个别名,同一个别名只能指向唯一的用户主密钥。

别名支持修改吗?

别名不支持修改,您可以通过创建新的别名,并删除旧的别名来达到修改别名的目的。默认主密钥的别名不支持删除和添加。

删除别名是否会影响用户主密钥的使用?

删除别名不会删除其关联的用户主密钥,但如果仍在使用别名作为api调用参数时,删除别名会导致服务调用失败,请确保预删除的别名已不再使用。

同一资源池内的用户主密钥,是否可以设置相同的别名?

不可以。同一个资源池中的别名具有唯一性,相同的别名可以绑定不同资源池内的用户主密钥。

为用户主密钥设置自动轮转的目的是什么?

KMS提供密钥轮转功能,支持通过密钥版本化和定期轮转来加强密钥使用的安全性,有效提升业务数据的安全性。

通过密钥轮转,可以减少每个密钥版本加密的数据量,降低没密码分析攻击风险;

密钥轮转可以减小破解密钥的时间窗口。应对密码分析攻击风险的有效实践是在定期轮转密钥的基础上,将旧密钥加密的密文数据使用新版本的密钥重新加密,这意味着如果想要破解密码拿到明文数据,需要在密钥轮转周期内完成密码破解。密钥轮转周期即为密钥破解时间窗口,该窗口越小,破解难度越大。

密钥经过轮转产生新的密钥版本后,是否会影响旧数据的解密?

不影响。密钥轮转产生新的版本后,加密数据时将使用新的版本;同时旧版本不会删除或禁用,在解密旧数据时,需要使用旧版本密钥完成。

非对称密钥是否支持自动轮转?

不支持。由于非对称密钥公钥使用场景的特殊性,KMS不支持对非对称密钥进行自动轮转。用户可以人工手动创建新的版本,生成全新的一对公钥和私钥。

使用密钥进行加密数据时,是否需要指定密钥版本?

使用密钥加密是否需要指定密钥版本与密钥类型有关。

调用对称密钥加密数据时,不需要指定密钥版本,系统会默认使用最新的主版本进行数据加密。

调用非对称密钥加密数据时,除了要指定主密钥外,还需要指定密钥版本。


相似文档
  • 天翼云密钥管理管理类常见问题QA
    本文汇总了密钥管理产品管理类常见问题。 Q:是否可以导出用户主密钥? A:不可以。为确保用户主密钥的安全,用户只能在KMS中创建,并通过API接口调用实现加密等操作,无法导出用户主密钥。
  • 天翼云密钥管理用户手册下载(pdf)
    点击下载:密钥管理用户使用指南.pdf
  • 天翼云密钥管理服务协议
    天翼云密钥管理服务协议,版本生效日期:2023-08-08。 特别提示: (“本协议”)系客户与天翼云科技有限公司(简称“天翼云”,客户与天翼云合称为“双方”)签订的,关于客户通过中国电信天翼云网门户(包括天翼云官网:www.ctyun.cn,天翼云Wap站m.ctyun.cn,“天翼云APP”,合称“天翼云网门户”)向天翼云购买、由天翼云向客户提供的云计算服务(“天翼云服务”)的约定。
  • 什么是天翼云运维安全中心(云堡垒机)?
    云堡垒机(Cloud Bastion Host,CBH)是一款4A统一安全管控平台,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。
  • 天翼云运维安全中心(云堡垒机)的功能特性
    此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部