OBS服务端加密_数据加密服务 DEW_最佳实践_云服务使用KMS加解密

简介

当您启用服务端加密功能后，在上传对象时，数据会在服务端加密成密文后存储。在下载加密对象时，存储的密文会先在服务端解密为明文，再提供给您。

使用服务端加密方式上传文件（控制台）

1. 在OBS管理控制台桶列表中，单击待操作的桶，进入“概览”页面。
2. 在左侧导航栏，单击“对象”。
3. 单击“上传对象”，系统弹出“上传对象”对话框。
4. 选择待上传的文件后，单击“打开”。
5. 勾选“KMS加密”，在后面的选择框中选择密钥名称，并单击“上传”，如图1所示。
   图1 加密上传对象
   

   密钥名称：用户主密钥名称，是用户在数据加密服务中创建的密钥，主要用于加密保护数据。OBS会提供一个名为“obs/default”的默认密钥，用户可以选择使用默认密钥加密上传对象，也可以通过数据加密服务页面创建的自定义密钥加密上传对象。

6. 对象上传成功后，可在对象列表中查看对象的加密状态。
   

   • 对象的加密状态不可以修改。
   • 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

使用服务端加密方式上传文件（API）

用户也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。