OBS如何保障您的数据安全
多重防护
支持HTTPS/SSL安全协议,支持数据加密上传。 同时OBS通过访问密钥(AK/SK)对访问用户的身份进行鉴权,结合IAM权限、桶策略、ACL、防盗链等多种方式和技术确保数据传输与访问的安全。
授权管理
支持敏感操作保护,针对删除桶等敏感操作,可开启身份验证。
OBS安全最佳实践
OBS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估OBS资源的安全状态,更好的组合使用OBS提供的多种安全能力,提高对OBS资源的整体安全防御能力,保护存储在OBS桶内的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
OBS常见安全问题解答
问:我的数据存在OBS中,如何保证安全性?
OBS本身是非常安全的。OBS本身也提供端到端的安全服务。访问桶或对象时,如果桶或对象未公开,只有桶或对象的拥有者才能够访问,访问时需要提供访问密钥(AK/SK)。您还可以使用各种访问控制机制,例如桶策略和访问控制列表(ACL),选择性地向您的用户和用户组授予权限。传输数据时,OBS支持HTTPS/SSL协议;如果您需要更高安全性,可以开启服务端加密功能。此外,OBS控制台支持敏感操作保护,开启后执行删除桶等敏感操作时,系统会进行身份验证,进一步保证OBS配置和数据的安全性。OBS敏感操作清单。
问:OBS会不会扫描我的数据用于其他用途?
系统对数据做的扫描仅限于判断数据块是否存在和被损坏(如有损坏,会启动修复),不会读取具体的内容。
问:后台管理人员能否导出我存在OBS中的数据?
管理员无法导出用户数据。访问桶或对象时,如果桶或对象未公开,只有桶或对象的拥有者才能够访问,访问时需要提供访问密钥(AK/SK)。
问:OBS如何保证我的数据不会被盗用?
只有桶或对象的拥有者才能访问,访问时需要提供访问密钥(AK/SK),并且还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全。
问:在使用AK和SK访问OBS过程中,密钥AK和SK是否可以更换?
可以。在使用过程中,密钥AK和SK可以随时更换。
问:多个用户是否可以共享一对AK和SK来访问OBS?
可以。不同的用户使用相同的一对AK和SK可以同时访问OBS中的资源,且访问到的资源相同。
问:我对存储在OBS上的数据加密时,可支持哪些加密技术?
您在将数据上传到OBS中前,可以事先对数据进行加密,以保证传输和保存的安全性。OBS不限定客户端加密的技术。
用户可根据需要对对象进行服务端加密,使对象更安全的存储在OBS中。
需要上传的对象可以通过数据加密服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥(或者使用KMS提供的默认密钥),当用户在OBS中上传对象时使用该密钥进行服务端加密。
当启用服务端加密功能后,用户上传对象时,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。
OBS支持通过接口提供KMS托管密钥的服务端加密(SSE-KMS)和客户提供加密密钥的服务端加密(SSE-C)两种方式,SSE-C方式是指OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。
问:被委托帐号或用户为什么无法上传下载KMS加密对象?
OBS服务端加密功能使用的前提是已经在IAM中为帐号或用户授予KMS Administrator权限。如果当前帐号或用户是被委托方,也需要在委托中被授予KMS Administrator权限。请联系你的委托方进行授权,参见委托其他华为云帐号管理资源。
注意:数据加密服务不是全局服务,委托时KMS Administrator权限需要配置在桶所在区域。由于委托信息保存在IAM中,配置完成后需要等待大约15分钟权限才能生效。