Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Object Storage Service> Guia de usuário> Encriptação do lado do servidor
Atualizado em 2022-11-24 GMT+08:00
Ver PDF

Encriptação do lado do servidor

Cenário de aplicação

Depois que a encriptação do lado do servidor for ativada, os objetos carregados no OBS serão criptografados e armazenados no servidor. Quando você baixar os objetos criptografados, os dados criptografados serão descriptografados no servidor e exibidos em texto simples para você.

OBS suporta os seguintes dois modos de encriptação do lado do servidor. Ambos os modos usam o algoritmo de encriptação AES-256 padrão da indústria.

  • Criptografia do lado do servidor usando chaves hospedadas pelo KMS (SSE-KMS)

    Você precisa criar uma chave usando o Key Management Service (KMS) ou usar a chave padrão fornecida pelo KMS. A chave KMS é então usada para executar a encriptação do lado do servidor quando você carrega objetos para OBS.

    No modo SSE-KMS, você pode ativar a encriptação padrão ao criar um intervalo. Em seguida, todos os objetos carregados no bucket são criptografados. Você também pode ativar a encriptação padrão para um bucket após sua criação e, em seguida, os objetos recém-carregados são criptografados.

    OBS criptografa somente os objetos carregados após a função de encriptação padrão ser ativada. O status de encriptação dos objetos existentes no bucket permanece inalterado. Desabilitar a encriptação padrão não altera o status de encriptação dos objetos existentes em um bucket. Depois que essa função for desabilitada, você ainda poderá criptografar objetos manualmente após o upload.

    Você pode usar o Console do OBS, as API, os SDK ou OBS Browser+ para configurar o SSE-KMS.

  • Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C)

    OBS usa as chaves e os valores MD5 fornecidos pelos clientes para encriptação do lado do servidor.

    Você pode usar as API ou os SDK para configurar o SSE-C.

Informações de plano de fundo

No modo SSE-KMS, o KMS usa um módulo de segurança de hardware (HSM) para proteger a segurança da chave, ajudando você a criar e controlar facilmente chaves de encriptação. As chaves não são exibidas em texto sem formatação fora dos HSM, o que impede a sua divulgação. Todas as operações realizadas nas chaves são controladas usando permissões de acesso e registradas, atendendo aos requisitos de conformidade regulatória.

Como usar essa função

Você pode usar Console do OBS, as API, os SDK, ou OBS Browser+ para definir a encriptação do lado do servidor.

Ferramenta

Referência

Console de OBS

Carregamento de um arquivo com encriptação do lado do servidor

Encriptação padrão de um bucket

Os SDK

OBS suporta kits de desenvolvimento de software (os SDK) em vários idiomas. Para obter detalhes, consulte o guia do desenvolvedor correspondente na página Visão geral de SDK.

As API

Encriptação do lado do servidor (SSE-KMS)

Encriptação do lado do servidor (SSE-C)

Configuração da encriptação de bucket

OBS Browser+

-