Criptografia de dados no OBS
Visão geral
Depois que a criptografia do lado do servidor é ativada, os dados de um objeto carregado no Object Storage Service (OBS) são criptografados no servidor antes de serem armazenados. Quando o objeto é baixado, os dados são descriptografados no servidor primeiro.
O KMS usa um módulo de segurança de hardware (HSM) de terceiros para proteger chaves, permitindo que você crie e gerencie chaves de criptografia facilmente. As chaves não são exibidas em texto não criptografado fora dos HSMs, o que impede a divulgação das chaves. Com o KMS, todas as operações em chaves são controladas e registradas, e os registros de uso de todas as chaves podem ser fornecidos para atender aos requisitos de conformidade regulatória.
A criptografia do lado do servidor com chaves gerenciadas pelo KMS (SSE-KMS) pode ser implementada para os objetos a serem carregados. Você precisa criar uma chave usando o KMS ou usar a chave padrão fornecida pelo KMS. Em seguida, você pode usar a chave para criptografar o objeto no servidor ao carregar o objeto no OBS.
Carregamento de arquivos no modo de criptografia no lado do servidor (no console)
- Na lista de buckets no console do OBS, clique em um bucket para acessar a página Overview.
- Na árvore de navegação à esquerda, escolha Objects.
- Clique em Upload Object. A caixa de diálogo Upload Object é exibida.
- Clique em Add File, selecione o arquivo a ser carregado e clique em Open.
- Defina Server-Side Encryption como SSE-KMS, selecione a chave padrão ou uma chave personalizada e clique em Upload.
Figura 1 Criptografia de um objeto a ser carregado
Nome da chave: nome da chave personalizada. A chave é criada no DEW e é usada para proteção criptografada de dados. O OBS fornece uma chave padrão obs/default. Você pode usar a chave padrão ou criar uma chave no DEW.
Geralmente, a chave AES é usada quando o SSE-KMS é usado. As chaves de criptografia SM4 podem ser usadas somente na região CN North-Ulanqab1.
- Depois de carregar o objeto, clique nele para exibir seu status de criptografia.
- O status de criptografia do objeto não pode ser alterado.
- Uma chave em uso não pode ser excluída. Caso contrário, o objeto criptografado com essa chave não pode ser baixado.
Carregamento de arquivos no modo de criptografia do lado do servidor (por meio de uma API)
Você pode chamar a API necessária do OBS para carregar um arquivo no modo de SSE-KMS. Para obter detalhes, consulte Referência de API do Object Storage Service.