服务端加密简介

当启用服务端加密功能后，用户上传对象时，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。

KMS通过使用硬件安全模块 (HSM) 保护密钥安全的托管，帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在HSM之外，避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足监督和合规性要求。

需要上传的对象可以通过数据加密服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥（或者使用KMS提供的默认密钥），当用户在OBS中上传对象时使用该密钥进行服务端加密。

OBS支持通过接口提供KMS托管密钥的服务端加密(SSE-KMS)和客户提供加密密钥的服务端加密（SSE-C）两种方式，SSE-C方式是指OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。上述两种方式都采用行业标准的AES256加密算法。