文档首页 > > 最佳实践> 云服务使用KMS加解密数据> OBS服务端加密

OBS服务端加密

分享
更新时间: 2020/02/20 GMT+08:00

简介

当您启用服务端加密功能后,在上传对象时,数据会在服务端加密成密文后存储。在下载加密对象时,存储的密文会先在服务端解密为明文,再提供给您。

KMS通过使用硬件安全模块(HSM)保护密钥安全的托管,帮助您轻松创建和管理加密密钥。您的密钥明文不会出现在HSM之外,避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。

需要上传的对象可以通过KMS提供密钥的方式进行服务端加密。您首先需要在KMS中创建密钥(或者使用KMS提供的默认主密钥),当您在OBS中上传对象时使用该密钥进行服务端加密。

使用服务端加密方式上传文件(控制台)

  1. 在OBS管理控制台桶列表中,单击待操作的桶,进入“概览”页面。
  2. 在左侧导航栏,单击“对象”
  3. 单击“上传对象”,系统弹出“上传对象”对话框。
  4. 选择待上传的文件后,单击“打开”
  5. 勾选“KMS加密”,在后面的选择框中选择密钥名称,并单击“上传”,如图1所示。

    图1 加密上传对象

    密钥名称:用户主密钥名称,是用户在数据加密服务中创建的密钥,主要用于加密保护数据。OBS会提供一个名为“obs/default”的默认密钥,用户可以选择使用默认密钥加密上传对象,也可以通过数据加密服务页面创建的自定义密钥加密上传对象。

  6. 对象上传成功后,可在对象列表中查看对象的加密状态。

    • 对象的加密状态不可以修改。
    • 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。

使用服务端加密方式上传文件(API)

用户也可以通过调用OBS API接口,选择服务端加密SSE-KMS方式(SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密)上传文件,详情请参考《对象存储服务API参考》

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问