文档首页/ 数据加密服务 DEW/ 快速入门/ 使用密钥进行OBS服务端加密
更新时间:2025-03-26 GMT+08:00
分享

使用密钥进行OBS服务端加密

数据加密服务(Data Encryption Workshop)是一个综合的云上数据加密服务。它提供的密钥管理(Key Management Service,KMS)是一种安全、可靠、简单易用的密钥托管服务,帮助用户集中管理密钥,保护密钥安全。

您可以通过KMS创建密钥,并使用创建的密钥将OBS服务端中上传的文件进行加密。

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,为账户充值、赋予KMS操作权限。

步骤一:创建桶

桶是对象存储中存储对象的容器。您需要先创建一个桶,然后才能在桶中存储数据。

步骤二:创建密钥

通过KMS创建密钥,并使用创建的密钥将OBS服务端中上传的文件进行加密。

步骤三:上传文件到OBS桶

上传文件到OBS桶,并使用KMS密钥对桶文件进行加密。

准备工作

  1. 在开始操作前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,才能正常使用OBS等相关资源。具体操作请参见账户充值
  3. 请确保已为账号拥有KMS CMKFullAccess及以上权限。具体操作请参见创建用户组并授权使用DEW
    表1 表1 KMS系统角色

    角色名称

    描述

    类别

    依赖关系

    KMS Administrator

    密钥管理服务(KMS)管理员,拥有该服务下的所有权限。

    系统角色

    KMS CMKFullAccess

    密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。

    系统策略

    KMS CMKReadOnlyAccess

    密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。

    系统策略

步骤一:创建桶

桶是对象存储中存储对象的容器。您需要先创建一个桶,然后才能在桶中存储数据。

  1. 登录管理控制台
  2. 单击页面左侧,在控制台页面中选择存储 > 对象存储服务 OBS
  3. 单击“创建桶”,创建一个桶,用于存储上传的文件。具体操作请参见创建桶

步骤二:创建密钥

以创建“AES-256”对称密钥为例进行介绍。

创建的密钥只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行创建或者使用区域性密钥。

  1. 登录管理控制台
  2. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  3. 单击界面右上角“创建密钥”
  4. 进入“创建密钥”页面,完成如下必要参数配置,其余参数保持默认值即可,参数说明请参见表2
    图1 创建密钥

    表2 必要参数说明

    参数

    示例

    说明

    密钥名称

    KMS-335c

    自定义密钥名称,不可为空。

    密钥算法

    AES-256

    KMS支持的密钥算法类型及算法描述,详见KMS支持的密钥算法类型

    密钥用途

    ENCRYPT_DECRYPT

    该值配置后不支持修改。

    对于AES_256对称密钥,默认值“ENCRYPT_DECRYPT”

    密钥材料来源

    密钥管理

    KMS支持两种密钥材料来源:

    • 密钥管理:由KMS生成密钥材料。
    • 外部:支持将本地的密钥材料导入到KMS。
  5. 单击“确定”,在页面右上角弹出“创建密钥成功”,则说明密钥创建完成。用户可在密钥列表上查看已完成创建的密钥,密钥默认状态为“启用”

步骤三:上传文件到OBS桶

上传文件到OBS桶,并使用KMS密钥对桶文件进行加密。

  1. 单击页面左侧,在控制台页面中选择存储 > 对象存储服务 OBS
  2. 单击步骤一:创建桶中创建的桶的名称,进入桶的详细信息页面。
  3. “对象”页面,单击“上传对象”,在上传对象页面完成如图2配置,参数说明如表3所示。
    图2 上传对象

    表3 必要参数说明

    参数

    示例

    说明

    存储类别

    继承桶类别

    指定对象的存储类别。如果不指定,默认与桶的存储类别一致。

    • 标准存储:适用于有大量热点文件或小文件,且需要频繁访问(平均一个月多次)并快速获取数据的业务场景。
    • 低频访问存储:适用于不频繁访问(平均一年少于12次),但需要快速获取数据的业务场景。
    • 归档存储:适用于很少访问(平均一年一次),且对数据获取速率要求不高的业务场景。
    • 深度归档存储:适用于很少访问,访问频率低于归档存储,且对数据获取速率要求不高的业务场景。

    上传对象

    -

    拖拽本地文件或文件夹至“上传对象”区域框内添加待上传的文件。

    也可以通过单击“上传对象”区域框内的“添加文件”,选择本地文件进行添加。

    服务端加密

    开启服务端加密后,上传到当前桶的对象会被加密。

    加密模式

    SSE-KMS

    KMS服务生成和保管密钥,OBS使用密钥加密对象。

    加密密钥类型

    自定义密钥

    AES256/KMS-335c

    选择加密密钥类型。

    此处,选择步骤二:创建密钥中创建的密钥类型。

  4. 单击“确定”

相关文档