检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置密钥 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 要接入OBS服务,您需要拥有一组有效的访问密钥(AK和SK)用来进行签名认证。 具体可参考OBS服务环境搭建。
如何生成SSE-C方式的加密密钥(Java SDK) 以下代码展示了如何生成SSE-C方式的加密密钥,以及密钥的MD5值如何生成: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
您需要通过委托获取临时访问密钥和securitytoken访问OBS。 数据加密服务不是全局服务,委托时KMS Administrator权限需要配置在桶所在区域。 由于委托信息保存在IAM中,配置完成后需要等待大约15分钟权限才能生效。 父主题: 服务端加密
需要上传的对象可以通过数据加密服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥(或者使用KMS提供的默认密钥),当用户在OBS中上传对象时使用该密钥进行服务端加密。 当启用服务端加密功能后,用户上传对象时,数据会在服务端加密成密文后存储。
如果未指定,则用户首次向区域中的桶上传SSE-KMS加密的对象时,OBS将自动为您创建一个默认密钥。自定义密钥或默认密钥用于加密和解密KMS生成的数据加解密密钥。
该场景便可使用临时访问密钥访问OBS服务。 图3 临时访问密钥使用场景 用户服务器可配置IAM用户的永久访问密钥,由该用户服务器向IAM请求,为不同的终端APP生成不同的临时访问密钥。
keyMD5:密钥通过MD5生成值,再将此值通过base64加密。
IAM用户、项目、用户组、区域、委托的名称和ID; key_id是从数据加密服务创建的密钥ID,获取方法请参见查看密钥。
如何访问或下载已加密的对象? 对象加密的方法 方法一:配置桶服务端加密后,上传到桶中的所有类型对象(如视频、音频等)都会自动使用指定的加密方式和密钥类型进行加密。 方法二:上传对象时指定加密方式和密钥类型进行加密上传。
如在创建跨区域复制规则时,如果需要同步复制加密对象,需要选择或新建一个委托,授权OBS访问数据加密服务。 委托访问OBS,需要先调用IAM接口获取委托的临时访问密钥和securitytoken,然后使用它们访问OBS。
当前支持的服务端加密方式: KMS托管密钥的服务端加密(SSE-KMS)、OBS托管密钥的服务端加密(SSE-OBS)和客户提供加密密钥的服务端加密(SSE-C)。上述方式都采用行业标准的AES256加密算法,另外SSE-KMS还可以选择采用国家密码局认定的SM4加密算法。
KMS密钥请求费用详情请参见数据加密服务如何收费和计费。 存储的费用详情请参见存储费用。 父主题: 服务端加密
分享对象时,OBS的SSE-OBS服务端加密方式是否需要授权特殊权限? 不需要。 SSE-OBS服务端加密方式,即在上传对象或访问对象时,OBS使用OBS根密钥派生的数据加密密钥,对OBS对象进行加解密。
前提条件 已获取访问密钥(AK和SK),具体操作请参见资源准备。 操作步骤 打开命令行终端。 执行以下命令,生成挂载所需的密钥文件。 对于2023年2月25日之后(不含该日期)的官网软件包,执行以下命令,将访问密钥加密后写入密钥文件“/etc/passwd-obsfs”。
使用 CtrRSACipherGenerator 上传对象时,用户需要提供一个 RSA 公钥或私钥,SDK 会针对每个对象随机生成一个数据密钥和初始值,并使用数据密钥与初始值加密对象,加密完成后将加密后文件上传至 OBS,随后会使用 RSA 密钥加密数据密钥,并将加密后的数据密钥与初始值存储至对象元数据中
用户密钥不会明文出现在HSM之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。 由于数据加密服务DEW服务接口存在流控限制(详见DEW API概览),开启SSE-KMS加密后,您的业务访问可能会受流控影响。
使用CTRCipherGenerator上传对象时,用户需要提供一个用来加密数据的数据密钥,SDK将会针对每个对象随机生成一个初始值,并使用数据密钥与初始值加密对象,加密完成后将加密后文件上传至OBS,并将对应的初始值存储至对象元数据中。
获取访问密钥(AK/SK)。 预签名URL需要通过访问密钥生成,请参考访问密钥(AK/SK)获取。其中访问密钥(AK/SK)对应的用户需设置所需的最小权限,具体权限设置方法参考向IAM用户授予OBS资源权限。
服务端加密 如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护。服务器端加密是指OBS服务端对客户端上传到OBS的对象进行加密存储。在访问对象时,由OBS服务端对文件进行解密,然后向客户端返回解密后的数据。
服务端加密 如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护。服务器端加密是指OBS服务端对客户端上传到OBS的对象进行加密存储。在访问对象时,由OBS服务端对文件进行解密,然后向客户端返回解密后的数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
