SSE-OBS
Funciones
Con SSE-OBS, OBS utiliza las claves proporcionadas por KMS para la encriptación del lado del servidor. A diferencia de SSE-KMS, es OBS, en lugar de un cliente, el que gestiona las claves KMS en SSE-OBS.
Encabezados recién agregados
Utilice el encabezado que aparece en la lista de Tabla 1 para implementar SSE-OBS.
También puede configurar la encriptación predeterminada de un bucket para cifrar los objetos que cargue en el bucket. Después de habilitar la encriptación predeterminada para un bucket, cualquier solicitud de carga de objetos sin el encabezado de encriptación incluido heredará la configuración de encriptación del bucket. Para obtener más información, véase Configuración de la encriptación de bucket.
Las API donde se aplican los encabezados de SSE-OBS
Puede configurar encabezados sobre SSE-OBS en las API siguientes:
- Carga de objetos - PUT
- Carga de objetos - POST (x-obs-server-side-encryption debe colocarse en el formulario, en lugar del encabezado.)
- Copia de objetos (los encabezados recién agregados se aplican a las copias de objetos)
- Inicio de una carga multiparte
Puede configurar una política de bucket para restringir los encabezados de solicitud de un bucket especificado. Por ejemplo, si necesita que las solicitudes de carga de objetos no contengan el encabezado x-obs-server-side-encryption:"AES256", puede usar la siguiente política de bucket:
{
"Statement": [
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "PutObject",
"Resource": "YourBucket/*",
"Condition": {
"StringNotEquals": {
"x-obs-server-side-encryption": "AES256"
}
}
}
]
}
Ejemplo de solicitud: uso de la clave predeterminada para encriptar un objeto
PUT /encryp1 HTTP/1.1 User-Agent: curl/7.29.0 Host: examplebucket.obs.region.myhuaweicloud.com Accept: */* Date: Wed, 06 Jun 2018 09:08:21 GMT Authorization: OBS H4IPJX0TQTHTHEBQQCEC:f3/7eS6MFbW3JO4+7I5AtyAQENU= x-obs-server-side-encryption:AES256 Content-Length: 5242 Expect: 100-continue [5242 Byte object contents]
Ejemplo de respuesta: Uso de la clave predeterminada para cifrar un objeto
HTTP/1.1 200 OK Server: OBS x-obs-request-id: 8DF400000163D45AA81D038B6AE4C482 ETag: "d8bffdfbab5345d91ac05141789d2477" x-obs-server-side-encryption: AES256 x-obs-id-2: 32AAAUJAIAABAAAQAAEAABAAAQAAEAABCTv7cHmAnGfBAGXUHeibUsiETTNqlCqC Date: Wed, 06 Jun 2018 09:08:21 GMT Content-Length: 0
Ejemplo de solicitud: copia de un objeto como objeto cifrado
PUT /destobject HTTP/1.1 User-Agent: curl/7.29.0 Host: examplebucket.obs.region.myhuaweicloud.com x-obs-server-side-encryption:AES256 Accept: */* Date: Wed, 06 Jun 2018 09:10:29 GMT Authorization: OBS H4IPJX0TQTHTHEBQQCEC:SH3uTrElaGWarVI1uTq325kTVCI= x-obs-copy-source: /bucket/srcobject1
Ejemplo de respuesta: copia de un objeto como objeto cifrado
HTTP/1.1 200 OK Server: OBS x-obs-request-id: BB78000001648480AF3900CED7F15155 ETag: "d8bffdfbab5345d91ac05141789d2477" x-obs-server-side-encryption: AES256 x-obs-id-2: oRAXhgwdaLc9wKVHqTLSmQB7I35D+32AAAUJAIAABAAAQAAEAABAAAQAAEAABCS Date: Wed, 06 Jun 2018 09:10:29 GMT Content-Length: 0
Ejemplo de solicitud: Carga de un objeto cifrado mediante una dirección URL firmada
PUT /destobject?AccessKeyId=UI3SN1SRUQE14OYBKTZB&Expires=1534152518&x-obs-server-side-encryption=AES256&Signature=chvmG7%2FDA%2FDCQmTRJu3xngldJpg%3D HTTP/1.1 User-Agent: curl/7.29.0 Host: examplebucket.obs.region.myhuaweicloud.com Accept: */* Date: Wed, 06 Jun 2018 09:10:29 GMT
Ejemplo de respuesta: Carga de un objeto cifrado mediante una dirección URL firmada
HTTP/1.1 200 OK Server: OBS x-obs-request-id: BB78000001648480AF3900CED7F15155 ETag: "d8bffdfbab5345d91ac05141789d2477" x-obs-server-side-encryption: AES256 x-obs-id-2: oRAXhgwdaLc9wKVHqTLSmQB7I35D+32AAAUJAIAABAAAQAAEAABAAAQAAEAABCS Date: Wed, 06 Jun 2018 09:10:29 GMT Content-Length: 0
