检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果未指定,则用户首次向区域中的桶上传SSE-KMS加密的对象时,OBS将自动为您创建一个默认密钥。自定义密钥或默认密钥用于加密和解密KMS生成的数据加解密密钥。
您需要通过委托获取临时访问密钥和securitytoken访问OBS。 数据加密服务不是全局服务,委托时KMS Administrator权限需要配置在桶所在区域。 由于委托信息保存在IAM中,配置完成后需要等待大约15分钟权限才能生效。 父主题: 服务端加密
图1 配置KMS加密 勾选“启用HTTPS安全传输协议”以及“启用KMS加密”。 单击“保存”。 验证加密状态。 勾选“启用HTTPS安全传输协议”和“启用KMS加密”后,上传到OBS中的所有对象都会进行KMS加密,KMS密钥会默认选中“obs/default”。
OBS的SSE-KMS服务端加密方式是否支持匿名访问? 不支持。 由于匿名用户没有KMS访问权限,所以OBS的SSE-KMS服务端加密方式不支持匿名访问。 父主题: 服务端加密
当前支持的服务端加密方式: KMS托管密钥的服务端加密(SSE-KMS)、OBS托管密钥的服务端加密(SSE-OBS)和客户提供加密密钥的服务端加密(SSE-C)。上述方式都采用行业标准的AES256加密算法,另外SSE-KMS还可以选择采用国家密码局认定的SM4加密算法。
用户密钥不会明文出现在HSM之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。 由于数据加密服务DEW服务接口存在流控限制(详见DEW API概览),开启SSE-KMS加密后,您的业务访问可能会受流控影响。
IAM用户、项目、用户组、区域、委托的名称和ID; key_id是从数据加密服务创建的密钥ID,获取方法请参见查看密钥。
与服务端加密相关的接口 本节介绍与服务端加密相关的接口,以及使用该接口时服务端加密对传输协议使用要求。 与服务端加密相关的接口对使用传输协议的具体要求,详情如表所示。
服务端加密SSE-C方式 功能介绍 SSE-C方式,OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。 新增头域 OBS不存储您提供的加密密钥,如果您丢失加密密钥,则会无法获取该对象。SSE-C方式新增加六个头域来支持SSE-C加密。
如何访问或下载已加密的对象? 对象加密的方法 方法一:配置桶服务端加密后,上传到桶中的所有类型对象(如视频、音频等)都会自动使用指定的加密方式和密钥类型进行加密。 方法二:上传对象时指定加密方式和密钥类型进行加密上传。
启用KMS加密 勾选“启用HTTPS安全传输协议”和“启用KMS加密”后,上传到OBS中的所有对象都会进行KMS加密。 启用MD5校验 勾选后,客户端上传、下载文件会进行MD5校验。
服务端加密 如何访问或下载已加密的对象? 被委托账号或用户为什么无法上传下载KMS加密对象? 分享对象时,OBS的SSE-OBS服务端加密方式是否需要授权特殊权限? OBS是否支持对象加密上传? 我对存储在OBS上的数据加密时,可支持哪些加密技术?
在使用OBS之前,请确保客户端环境已经正确配置DNS服务器地址,用于OBS域名解析。 不同的数据中心分配对应的域名,域名详情请参见地区和终端节点。 父主题: 产品咨询
例如,默认存储类别为标准存储的桶也可以保存归档存储对象,开启归档数据直读后,您可以直接下载归档存储对象。 服务端加密 开启后,则需要选择加密模式、加密算法、加密密钥类型。 加密模式选择“SSE-KMS”,会使用您在数据加密服务DEW中托管的加密密钥加密桶中的对象。
服务端加密 如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护。服务器端加密是指OBS服务端对客户端上传到OBS的对象进行加密存储。在访问对象时,由OBS服务端对文件进行解密,然后向客户端返回解密后的数据。
标签管理服务(Tag Management Service,TMS) 标签 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务(Data Encryption Workshop,DEW) 服务端加密 通过CDN服务为OBS桶绑定的自定义域名加速。
检查当前对象是否采用了KMS加密,如果对象已加密,使用管理控制台、OBS Browser+和obsutil下载对象时会失败;使用SDK和API下载时,需提供密钥才能下载成功。 检查当前对象是否为归档存储类别,如果是且该对象的状态为“未恢复”,则先恢复该对象。
SSE-KMS SSE-C ObsClient.uploadPart 上传段时设置加密算法、密钥,对分段数据启用服务端加密。 SSE-C ObsClient.copyPart 复制段时设置源对象的解密算法、密钥,用于解密源对象。
例如,默认存储类别为标准存储的桶也可以保存归档存储对象,开启归档数据直读后,您可以直接下载归档存储对象。 服务端加密 开启后,则需要选择加密模式、加密算法、加密密钥类型。 加密模式选择“SSE-KMS”,会使用您在数据加密服务DEW中托管的加密密钥加密桶中的对象。
数据盘可用空间 ≥3GB 存放OBS Browser数据库的数据文件所需的硬盘空间(当前版本是存放在系统盘)。 该OBS Browser提供扁平化风格的GUI界面,符合Windows系统用户的操作习惯。要想拥有更好的体验,建议使用1280*1024或更高分辨率的显示设备。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
