Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Prácticas recomendadas/ Key Management Service/ Uso de KMS para cifrar y descifrar datos para servicios en la nube/ Encriptación de datos en OBS
Actualización más reciente 2024-09-13 GMT+08:00
Ver PDF
Compartir

Encriptación de datos en OBS

Descripción general

Una vez habilitado la encriptación del lado del servidor, los datos de un objeto cargados en Object Storage Service (OBS) se cifran en el servidor antes de almacenarse. Cuando se descarga el objeto, los datos se descifran primero en el servidor.

KMS utiliza un módulo de seguridad de hardware (HSM) de terceros para proteger las claves, lo que le permite crear y gestionar claves de encriptación fácilmente. Las claves no se muestran en texto plano fuera de los HSM, lo que impide su divulgación. Con KMS, todas las operaciones de las claves se controlan y registran, y se pueden proporcionar registros de uso de todas las claves para cumplir los requisitos normativos.

Se puede implementar la encriptación del lado del servidor con claves gestionadas por KMS (SSE-KMS) para los objetos que se van a cargar. Debe crear una clave usando KMS o usar la clave predeterminada proporcionada por KMS. Luego, puede usar la clave para cifrar el objeto en el servidor al cargarlo en OBS.

Carga de datos en modo de encriptación del lado del servidor (en la consola)

  1. En la lista de buckets de la consola de OBS, haga clic en un bucket para ir a la página Overview.
  2. En el árbol de navegación de la izquierda, seleccione Objects.
  3. Haga clic en Upload Object. Aparece el cuadro de diálogo Upload Object.
  4. Haga clic en Add File. Seleccione el archivo que desea cargar y luego haga clic en Open.
  5. Configure Server-Side Encryption como SSE-KMS; seleccione la clave predeterminada o una personalizada y haga clic en Upload.

    Figura 1 Encriptación de un objeto que se va a cargar

    Nombre de clave: nombre de la clave personalizada. La clave se crea en DEW y se utiliza para la protección cifrada de los datos. OBS proporciona obs/default como clave por defecto. Puede utilizar la clave predeterminada o crear una clave en DEW.

    Generalmente, se elige la clave AES cuando se utiliza SSE-KMS. Las claves de encriptación de SM4 solo se pueden utilizar en la región CN North-Ulanqab1.

  6. Después de cargar el objeto, haga clic en él para ver su estado de encriptación.

    • No se puede cambiar el estado de encriptación del objeto.
    • No se puede eliminar una clave en uso. De lo contrario, el objeto cifrado con esta clave no se puede descargar.

Carga de datos en modo de encriptación del lado del servidor (con una API)

Puede invocar a la API requerida del OBS para cargar un archivo en modo SSE-KMS. Consulte la Referencia de las API de Object Storage Service para obtener más detalles.