Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Object Storage Service> Guía del usuario> Encriptación del lado del servidor
Actualización más reciente 2023-04-27 GMT+08:00
Ver PDF

Encriptación del lado del servidor

Escenario de la aplicación

Después de habilitar el cifrado del lado del servidor, los objetos cargados en OBS se cifrarán y luego se almacenarán en el servidor. Al descargar los objetos encriptados, los datos cifrados se desencriptan en el servidor y se muestran a los usuarios como texto no encriptado.

OBS admite los siguientes dos modos de cifrado del lado del servidor. Ambos modos utilizan el algoritmo de cifrado AES-256 estándar de la industria.

  • La encriptación del lado del servidor mediante claves alojadas en KMS (SSE-KMS)

    Debe crear una clave a través de Key Management Service (KMS) o utilizar la clave predeterminada proporcionada por KMS. La clave KMS se utiliza para realizar el cifrado del lado del servidor cuando se cargan objetos en OBS.

    En el modo SSE-KMS, puede habilitar el cifrado predeterminado al crear un bucket. A continuación, todos los objetos cargados en el bucket se cifran. También puede habilitar el cifrado predeterminado para un bucket después de su creación y, a continuación, los objetos recién cargados se cifran.

    OBS cifra solo los objetos cargados después de que la función de cifrado predeterminada esté activada. El estado de encriptación de los objetos existentes en el bucket permanece sin cambios. La deshabilitación de la encriptación por defecto no cambia el estado de encriptación de los objetos existentes en un bucket. Después de que se deshabilita esta función, todavía se pueden encriptar manualmente los objetos al cargarlos.

    Puede usar la consola OBS, API, SDK o el navegador OBS+ para configurar SSE-KMS.

  • La encriptación del lado del servidor con claves proporcionadas por el cliente (SSE-C)

    OBS utiliza las claves y los valores MD5 proporcionados por los clientes para el cifrado del lado del servidor.

    Puede usar API o SDK para configurar SSE-C.

Información de referencia

En el modo SSE-KMS, KMS utiliza un módulo de seguridad de hardware (HSM) para proteger la seguridad de las claves, lo que le ayuda a crear y controlar fácilmente las claves de encriptación. Las claves no se muestran en texto sin formato fuera de los HSM, lo que impide la divulgación de claves. Todas las operaciones realizadas en las claves se controlan mediante permisos de acceso y se registran, cumpliendo con los requisitos de cumplimiento normativo.

¿Cómo usar esta función?

Puede utilizar la consola OBS, API, SDK o el navegador OBS+ para establecer el cifrado del servidor.

Herramienta

Referencia

Consola de OBS

Carga de un archivo con cifrado del lado del servidor

Encriptación predeterminada de un bucket

SDK

OBS admite kits de desarrollo de software (SDK) en varios idiomas. Para obtener más información, consulte la guía para desarrolladores correspondiente en la página de Descripción general del SDK.

API

Encriptación del lado del servidor (SSE-KMS)

Encriptación del lado del servidor (SSE-C)

Configuración de la encriptación de bucket

OBS Browser+

-