检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据保护技术 OBS通过多种数据保护手段和特性,保障存储在OBS中的数据安全可靠。 表1 OBS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) OBS支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。
配置对象级WORM保护策略 功能介绍 开启了WORM开关的桶,上传的对象支持配置或修改对象保护期限。 如果上传对象时没有配置保护期限或自动应用桶级默认保护策略,您可以通过该操作配置对象保护期限。 如果上传对象时配置了保护期限或自动应用了默认保护期限,允许用户通过该操作延长保护期限。 对象保护期限仅允许修改,不允许删除。
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书
数据安全、迁移和备份 我的数据存在OBS中,如何保证安全性? OBS数据删除或覆盖后是否可以恢复? 在使用访问密钥AK和SK访问OBS过程中,AK和SK是否可以更换或多个用户共享? 如何迁移数据至OBS? OBS如何实现备份和容灾? 如何在弹性文件服务SFS和对象存储服务OBS之间进行数据迁移?
数据安全 服务端加密 多版本控制 配置对象锁定(WORM)防止对象被更改或删除 配置CORS实现跨域访问OBS 配置防盗链防止非法流量盗用 配置双端固定实现VPC粒度的访问控制
OBS安全配置建议 安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。 本文提供了OBS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据
S/SSL协议;如果您需要更高安全性,可以开启服务端加密功能。 防止误删等操作:OBS控制台支持敏感操作保护,开启后执行删除桶等敏感操作时,系统会进行身份验证,进一步保证OBS配置和数据的安全性。OBS敏感操作清单请参见敏感操作。 父主题: 数据安全、迁移和备份
监控安全风险 OBS提供基于云监控服务CES的资源和操作监控能力,帮助用户监控账号下的OBS桶,执行自动实时监控、告警和通知操作。用户可以实时掌握桶中所产生的各类请求、流量、带宽、错误响应和存储用量等信息。 关于OBS支持的监控指标,以及如何创建监控告警规则等内容,请参见监控。
OBS数据安全 OBS安全配置建议 减少因误操作导致的数据丢失风险
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
当启用服务端加密功能后,用户上传对象时,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。 KMS通过使用硬件安全模块 (HSM) 保护密钥安全的托管,帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在HSM之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日
您可以使用跨区域复制功能将数据复制到异地进行备份,详情请参见跨区域复制。 WORM保护对象,保护期内禁止删除 您可以通过WORM功能保护对象,在保护期内阻止删除或覆盖对象,详情请参见WORM。 父主题: OBS数据安全
跨区域复制到异地备份 您可以使用跨区域复制功能将数据复制到异地进行备份。详情请参见跨区域复制。 WORM保护对象 您可以通过WORM功能保护对象,在保护期内阻止删除或覆盖对象。详情请参见WORM。 父主题: 数据安全、迁移和备份
托管密钥的服务器端加密) SSE-C (用户提供密钥的服务器端加密) 使用场景 密钥由经过安全认证的第三方硬件安全模块(HSM)产生,对密钥的关键操作都会进行访问控制及日志跟踪,适用于对合规性、安全性要求较高的场景。 加解密时不需要与KMS交互,访问时延更低,性能较SSE-KMS更好
在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”,进入“新增访问密钥”页面。 输入访问密钥描述信息(非必填),单击“确定”。 通过手机短信、邮箱或者虚拟MFA进行验证,输入对应的验证码,单击“确定”。 如果您已开启操作保护,需要通过手机短信、邮箱或者虚拟MFA进行验证,输入对应的验证码。 单击“立即下载”,浏览器下载访问密钥。
统一身份认证服务:即华为云统一身份认证服务,负责生成临时安全凭证。 实现流程如下: 应用客户端向应用服务器申请一个临时操作凭证。 应用服务器向统一身份认证服务请求临时安全凭证。 统一身份认证服务向应用服务器返回临时安全凭证。 应用服务器将临时安全凭证发放给应用客户端。 应用客户端使用安全凭证完成OBS数据上传下载。
购买存储硬盘,进行人工扩容。 安全性 支持HTTPS/SSL安全协议,支持数据加密上传。同时OBS通过访问密钥(AK/SK)对访问用户的身份进行鉴权,结合IAM权限、桶策略、ACL、防盗链等多种方式和技术确保数据传输与访问的安全。 支持敏感操作保护,针对删除桶等敏感操作,可开启身份验证。
AM用户信息。 在调用接口的时候,需要使用AK/SK进行签名验证。AK/SK获取步骤如下: 登录控制台。 鼠标指向界面右上角的登录用户名,在下拉列表中单击“我的凭证”。 在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”,进入“新增访问密钥”页面。 输入访问密钥描述信息(非必填),单击“确定”。
桶的WORM开关开启后,支持配置默认保护策略和保护期限。 当您在桶内配置了桶级默认WORM策略以后,如果您在上传对象时没有指定保护策略和保护期限,则新上传的对象会自动应用桶级默认WORM策略。和配置对象级WORM保护策略不同的地方在于,对象级WORM保护策略需要您提供一个明确的时间,在
么任何用户在指定时间内都不能覆盖或删除受保护的对象版本,包括账号中的根用户。 根据作用目标的范围不同,WORM可以分为桶级WORM和对象级WORM。桶级WORM以桶为单位锁定,保护范围覆盖桶中的所有对象。对象级WORM以对象为单位锁定,保护范围仅覆盖与WORM策略绑定的对象。无论
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
