用户可根据需要对对象进行服务端加密,使对象更安全的存储在OBS中。
如果文件要上传的桶未开启服务端加密,上传时默认不加密,您可自行配置服务端加密上传文件。如果文件要上传的桶已开启服务端加密,上传时可继承桶的加密配置,也可自行配置服务端加密上传。
约束与限制
- 对象的加密状态不可以修改。
- 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。
- 对象进行服务端加密后,且未在IAM进行委托的情况下,即使其他账号和用户拥有该对象的读权限,也无法访问该对象。
前提条件
已通过IAM服务添加OBS所在区域的KMS Administrator权限,权限添加方法请参见给IAM用户授权。如果当前账号或用户是被委托方,也需要在委托中被授予KMS Administrator权限。
数据加密服务收费请参见产品收费详情。
使用方式
OBS支持通过控制台、API、SDK方式对上传对象进行加密,不支持通过OBS Browser+、obsutil方式对上传对象进行加密。
使用OBS控制台
- 在OBS管理控制台左侧导航栏选择“桶列表”。
- 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
- 单击“上传对象”,系统弹出“上传对象”对话框。
- 添加待上传的文件。
- 勾选“SSE-KMS”或“SSE-OBS”。
选择“SSE-KMS”加密,则需要选择加密算法、加密密钥类型。加密算法可以选择AES256加密算法或SM4加密算法。
- 加密密钥类型您可以选择“默认密钥”,您上传的对象将使用当前区域的默认密钥进行加密,如果您没有默认密钥,系统将会在首次上传对象时自动为您创建。
- 加密密钥类型您也可以选择“自定义密钥”,通过单击“查看KMS密钥”进入数据加密服务页面创建自定义密钥,然后通过KMS密钥的下拉框选中您创建的KMS密钥。
- 加密密钥类型您还可以选择“共享密钥”,输入共享密钥ID,您上传的对象将使用其他用户共享的密钥进行加密。获取共享密钥ID,具体请参见查看密钥。
支持配置主项目和子项目下的共享密钥,但配置子项目下的共享密钥后,共享密钥的拥有者访问对象异常,桶所有者可正常访问。
自定义密钥请参见创建密钥。
图1 选择SSE-KMS加密
选择“SSE-OBS”,则使用OBS服务创建和管理的密钥加密。
图2 选择SSE-OBS加密
- 单击“上传”。
对象上传成功后,可在对象详情中查看对象的加密状态。