Encriptación del lado del servidor
Escenarios
Después de habilitar el cifrado del lado del servidor, los objetos cargados en OBS se cifrarán y luego se almacenarán en el servidor. Cuando se descargan objetos, se descifrarán primero en el servidor y luego se le devolverán en texto plano.
OBS proporciona los siguientes métodos de encriptación del lado del servidor que adoptan Advanced Encryption Standard de 256 bits (AES-256).
- Encriptación del lado del servidor con claves alojadas en KMS (SSE-KMS)
Con este método, debe crear una clave utilizando Key Management Service (KMS) o utilizar la clave predeterminada proporcionada por KMS. La clave de KMS se utiliza para la encriptación del lado del servidor cuando se cargan objetos en OBS.
Puede habilitar SSE-KMS al crear un bucket. A continuación, todos los objetos cargados en el bucket se pueden cifrar. También puede habilitar SSE-KMS después de crear un bucket. Después de habilitar SSE-KMS, los objetos recién cargados al bucket se cifrarán.
OBS cifra solo los objetos cargados después de que la función de cifrado predeterminada esté activada. El estado de encriptación de los objetos existentes en el bucket permanece sin cambios. La deshabilitación de la encriptación por defecto no cambia el estado de encriptación de los objetos existentes en un bucket. Después de que se deshabilita esta función, todavía se pueden encriptar manualmente los objetos al cargarlos.
Puede usar OBS Console, APIs, SDKs u OBS Browser+ para configurar SSE-KMS.
- La encriptación del lado del servidor con claves proporcionadas por el cliente (SSE-C)
OBS utiliza las claves y los valores MD5 proporcionados por los clientes para el cifrado del lado del servidor.
Puede usar API o SDK para configurar SSE-C.
- La encriptación del lado del servidor con claves gestionadas por OBS (SSE-OBS)
OBS utiliza las claves derivadas de las claves raíz de OBS para proteger sus datos en el lado del servidor.
Puede utilizar OBS Console para configurar SSE-OBS.
Restricciones
Solo se puede utilizar un método de encriptación del lado del servidor cada vez que se carga un objeto.
- SSE-KMS está disponible en las siguientes regiones: CN-Hong Kong, AP-Singapore, LA-Mexico City1, LA-Sao Paulo1, CN South-Guangzhou, AF-Johannesburg, AP-Bangkok, CN Southwest-Guiyang1, AP-Jakarta y TR-Istanbul.
- SSE-OBS solo se admite en las regiones AP-Bangkok y AP-Jakarta.
Información de referencia
En el modo SSE-KMS, KMS utiliza un módulo de seguridad de hardware (HSM) para proteger la seguridad de las claves, lo que le ayuda a crear y controlar fácilmente las claves de encriptación. Las claves no se muestran en texto sin formato fuera de los HSM, lo que impide la divulgación de claves. Todas las operaciones realizadas en las claves se controlan mediante permisos de acceso y se registran, cumpliendo con los requisitos de cumplimiento normativo.
Precauciones
Cuando la encriptación del lado del servidor está deshabilitada para un bucket, se debe acceder a los objetos cifrados a través de HTTPS.
Cómo usarlo
Puede usar OBS Console, APIs, SDKs u OBS Browser+ para configurar la encriptación del servidor.
|
Herramienta |
Referencia |
|---|---|
|
OBS Console |
Carga de un archivo en modo de encriptación del lado del servidor |
|
SDK |
OBS admite kits de desarrollo de software (SDK) en varios idiomas. Para obtener más información, consulte la guía para desarrolladores correspondiente en la página de Descripción de los SDK. |
|
API |
Encriptación del lado del servidor (SSE-KMS) |
|
OBS Browser+ |
- |
