OBS关键功能特性
一、服务端加密
当启用服务端加密功能后,用户上传对象时,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。
KMS通过使用硬件安全模块 (HSM) 保护密钥安全的托管,帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在HSM之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。
需要上传的对象可以通过 数据加密 服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥(或者使用KMS提供的默认密钥),当用户在OBS中上传对象时使用该密钥进行服务端加密。
OBS支持通过接口提供KMS托管密钥的服务端加密(SSE-KMS)和客户提供加密密钥的服务端加密(SSE-C)两种方式,SSE-C方式是指OBS使用用户提供的密钥和密钥的MD5值进行服务端加密。
二、生命周期管理
1、生命周期管理是指通过配置指定的规则,实现定时删除桶中的对象或者定时转换对象的存储类别。
2、生命周期管理可适用于以下典型场景:
周期性上传的日志文件,可能只需要保留一个星期或一个月。到期后要删除它们。
某些文档在一段时间内经常访问,但是超过一定时间后便可能不再访问了。这些文档需要在一定时间后转化为低频访问存储,归档存储或者删除。
3、生命周期管理规则通常包含两个关键要素:
(1)策略:即您可以指定对象名前缀来匹配受约束的对象,则匹配该前缀的对象将受规则影响;也可以指定将生命周期管理规则配置到整个桶,则桶内所有对象都将受规则影响。
(2)时间:即您可以指定在对象最后一次更新后多少天,受规则影响的对象将转换为低频访问存储、归档存储或者过期并自动被OBS删除。
转换为低频访问存储:即您可以指定在对象最后一次更新后多少天,受规则影响的对象将转换为低频访问存储。
转换为归档存储:即您可以指定在对象最后一次更新后多少天,受规则影响的对象将转换为归档存储。
过期删除:即您可以指定在对象最后一次更新后多少天,受规则影响的对象将过期并自动被OBS删除。
4、转换为低频访问存储的时间最少设置为30天,若同时设置转换为低频访问存储和转换为归档存储,则转换为归档存储的时间要比转换为低频访问存储的时间至少长30天,例如转换为低频访问存储设置为33天,则转换为归档存储至少需要设置为63天。若单独设置转换为归档存储,则没有时间限制。过期时间必须大于前两个转换时间的最大值。