检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您创建一个默认密钥。自定义密钥或默认密钥用于加密和解密KMS生成的数据加解密密钥。 使用非默认IAM项目下的自定义密钥对桶内对象进行SSE-KMS加密,只有密钥拥有者可以对加密后的对象进行上传下载类操作,非密钥拥有者不能对加密对象进行上传下载类操作。 使用默认密钥向区域中的桶上传
OBS的SSE-KMS服务端加密方式是否支持匿名访问? 不支持。 由于匿名用户没有KMS访问权限,所以OBS的SSE-KMS服务端加密方式不支持匿名访问。 父主题: 服务端加密
被委托账号或用户为什么无法上传下载KMS加密对象? OBS服务端加密功能使用的前提是已经在IAM中为账号或用户授予OBS OperateAccess和KMS相关权限,如表所示。如果当前账号或用户是被委托方,也需要在委托中被授予OBS OperateAccess权限。请联系您的委托
设置桶的加密配置 功能介绍 OBS使用PUT操作为桶创建或更新默认服务端加密配置信息。 设置桶加密配置后,在该桶中上传对象时,会采用桶的默认加密配置对数据进行加密。目前支持配置的服务端加密方式有:KMS托管密钥的服务端加密(SSE-KMS)、OBS托管密钥的服务端加密(SSE-O
Service)服务提供的密钥进行服务端加密。用户可以创建自定义密钥,用于SSE-KMS加密。 SSE-OBS方式,OBS使用服务自身提供的密钥进行服务端加密。与SSE-KMS的区别在于SSE-OBS是OBS管理密钥,而非KMS。 SSE-C方式,OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。
OBS的服务端加密会收取加密的费用吗? OBS的SSE-KMS服务端加密方式除了收取存储的费用,还会在KMS服务侧产生KMS密钥请求费用。 OBS的SSE-OBS服务端加密方式和SSE-C服务端加密方式不会收取加密费用,只收取存储的费用。 KMS密钥请求费用详情请参见数据加密服务如何收费和计费。
OBS支持通过接口提供KMS托管密钥的服务端加密(SSE-KMS)、OBS根密钥派生密钥的服务端加密(SSE-OBS)和客户提供加密密钥的服务端加密(SSE-C)三种方式,SSE-C方式是指OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。 父主题: 服务端加密
机制,KMS云服务托管的用户主密钥并没有直接用来加密数据,系统先是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文,然后使用数据加密密钥来加密OBS对象,加密完成后,OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对象时,如图2所示,KMS云服务先
您也可以通过配置桶的默认加密方式来对桶内的对象进行加密。在为桶配置默认加密后,对于任何不带加密头域的上传对象的请求,将使用桶的默认加密配置进行加密。有关桶的加密配置的更多信息请参考设置桶的加密配置章节。 表1 SSE-OBS方式使用的头域 名称 描述 x-obs-server-side-encryption
设置对象ACL 功能介绍 OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。 OBS用户在
机制,KMS云服务托管的用户主密钥并没有直接用来加密数据,系统先是从用户主密钥中派生出数据加密密钥和数据加密密钥的密文,然后使用数据加密密钥来加密OBS对象,加密完成后,OBS存储数据加密密钥的密文和对象密文。 图2 SSE-KMS解密流程 解密对象时,如图2所示,KMS云服务先
参数描述: 密钥ID。当加密方式为SSE-KMS且使用指定密钥加密时,需输入密钥ID。 约束限制: 当您设置了server_side_encryption且赋值为“kms”,即选择kms加密方式时,才能使用该头域指定加密密钥。 取值范围: 无 默认取值: 当您选择使用kms加密方式,但
参数描述: 密钥ID。当加密方式为SSE-KMS且使用指定密钥加密时,需输入密钥ID。 约束限制: 当您设置了server_side_encryption且赋值为“kms”,即选择kms加密方式时,才能使用该头域指定加密密钥。 默认取值: 当您选择使用kms加密方式,但未设置此头域时
domain 存放资源的服务器的域名或IP地址。 必选 port 请求使用的端口号。根据软件服务器的部署不同而不同。缺省时使用默认端口,各种传输协议都有默认的端口号,如HTTP的默认端口为80,HTTPS的默认端口为443。 OBS对象存储服务的HTTP方式访问端口为80,HTTPS方式访问端口为443。
参数描述: 密钥ID。当加密方式为SSE-KMS且使用指定密钥加密时,需输入密钥ID。 约束限制: 当您设置了server_side_encryption且赋值为“kms”,即选择kms加密方式时,才能使用该头域指定加密密钥。 取值范围: 无 默认取值: 当您选择使用kms加密方式,但
常见的Web端上传方法是用户通过浏览器上传文件至应用服务器,再由应用服务器上传至OBS,数据需要在应用服务器中转,传输效率较低,且多任务同时上传时应用服务器压力大。 本文介绍一种在Web端利用PostObject接口直传文件至OBS的方法,即使用表单上传方式上传文件至OBS。如图1所示,该方案省去了应用服务器这一步
参数描述: 密钥ID。当加密方式为SSE-KMS且使用指定密钥加密时,需输入密钥ID。 约束限制: 当您设置了server_side_encryption且赋值为“kms”,即选择kms加密方式时,才能使用该头域指定加密密钥。 默认取值: 当您选择使用kms加密方式,但未设置此头域时
设置对象ACL(Java SDK) 功能说明 OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。
设置对象ACL(Python SDK) 功能说明 OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。
设置对象ACL(Go SDK) 功能说明 OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
