KMS基本概念

基本概念：
HSM（Hardware Security Module）
硬件安全模块：用于保护和管理强认证系统所使用的密钥，同时提供相关密码学操作的计算机硬件设备。

CMK（Customer Master Key）
用户主密钥：用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。
简单的说，就是用于加密数据密钥(DEK)的密钥。它一般不直接用于加密业务数据。

用户主密钥分为：
自定义密钥：用户通过密钥管理界面自行创建或导入的密钥。自行创建的主密钥并没有导出功能，那么如何导入，下面会说。
默认密钥：在用户第一次通过对应云服务使用KMS加密时，云服务自动通过密钥管理为用户创建的密钥，其别名后缀为“/default”。
默认密钥可查询，但不支持禁用、计划删除操作。
比如别名：obs/default, evs/default(云硬盘Elastic Volume Service), kps/default(密钥对Key Pair Service)等

密钥材料（Key Material）: 密码运算操作的重要输入之一，与密钥ID、基本元数据共同组成用户主密钥CMK。

当用户创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。
用户也可通过“导入密钥”创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。此时，用户需要确保符合自己安全要求的随机源生成密钥材料。并且在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。
参考 https://support.huaweicloud.com/usermanual-dew/dew_01_0089.html 导入密钥材料

DEK
数据加密密钥（Data Encrypt Key）: 用于加密数据的密钥。

信封加密：将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。
已加密的数据和加密该数据时使用的数据加密密钥的密文，这2者是一起传递和存储的。也许这是叫信封加密的原因。

参考 https://support.huaweicloud.com/dew_faq/dew_01_0054.html 信封加密方式有什么优势？

使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。

信封加密方式：KMS通过使用HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。

https://support.huaweicloud.com/productdesc-dew/dew_01_0006.html 密钥管理-使用场景 带图

其中第2.步的说明：
华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

DWS加密
如果遇到物理介质（如硬盘）被黑客或者内部人员盗取的情况，恶意破坏方只需还原或附加数据库即可浏览用户数据。
有一种解决方案是加密数据库中的敏感数据，并保护加密数据的密钥，该方案可以防止任何没有密钥的人使用这些数据，但这种保护必须事先计划，也就是说开启加密必须在创建数据库时就确定，并且开启后也无法关闭。

未完待续