Carga de un objeto en modo de encriptación del lado del servidor
OBS le permite cifrar objetos con encriptación del lado del servidor para que los objetos se puedan almacenar de forma segura en OBS.
En un bucket con encriptación del lado del servidor deshabilitado, los objetos cargados en él no se cifran de forma predeterminada. Puede configurar la encriptación del lado del servidor al cargar objetos. En un bucket con encriptación del lado del servidor habilitado, los objetos cargados heredan la configuración de encriptación del bucket. También puede configurar por separado la encriptación para los objetos.
Limitaciones y restricciones
- No se puede cambiar el estado de encriptación del objeto.
- No se puede eliminar una clave en uso. De lo contrario, el objeto cifrado con esta clave no se puede descargar.
- Si un objeto está cifrado en el lado del servidor y no tiene ninguna delegación de IAM, otras cuentas y usuarios no pueden acceder al objeto aunque puedan leer este objeto.
Requisitos previos
En la región donde se despliega OBS, se ha agregado el permiso KMS Administrator al grupo de usuarios. Para obtener más información acerca de cómo agregar el permiso, consulte Asignar permisos a un usuario de IAM. Si la cuenta actual o el usuario es el concesionario, también requiere el permiso KMS Administrator.
Para obtener más información sobre los precios de DEW, consulte Detalles de precios del producto.
Procedimiento
- En el panel de navegación de OBS Console, elija Object Storage.
- En la lista de bucket, haga clic en el nombre del bucket que desee. Se muestra la página Objects.
- Haga clic en Upload Object. Aparece el cuadro de diálogo Upload Object.
- Agregue los archivos que se van a cargar.
- Seleccione SSE-KMS o SSE-OBS.
Si elige SSE-KMS para la encriptación, debe especificar un tipo de clave de encriptación. Para el tipo de clave de encriptación, puede elegir Default o Custom. Si se utiliza Default, se utilizará la clave predeterminada de la región actual para cifrar los objetos. Si no existe una clave predeterminada, OBS crea una la primera vez que carga un objeto. Si se utiliza Custom, puede elegir una clave personalizada que haya creado en la consola de KMS para cifrar los objetos.
Para obtener más información sobre cómo crear una clave principal de cliente, consulte Creación de una clave.
Figura 1 Elección de SSE-KMS para la encriptación del lado del servidor
Cuando se elige SSE-OBS, las claves creadas y gestionadas por OBS se utilizan para la encriptación.
Figura 2 Elección de SSE-OBS para la encriptación del lado del servidor
- Haga clic en Upload.
Después de cargar el objeto correctamente, puede ver su estado de cifrado en la lista de objetos.