数据加密
<section class="section" id="dataencryption__section_nph_qgz_kkb"><h2 class="doc-tairway">服务端加密</h2>
<p class="p">为保障数据存储安全,OBS支持在创建Bucket时选择利用KMS服务托管的密钥进行加密,这样用户上传的对象会被OBS服务自动调用用户指定的密钥将数据加密后进行存放,即采用服务端加密。具体步骤如下:</p>
<ol class="ol" id="dataencryption__ol_g3c_rgz_kkb">
<li class="li">用户首先需要在KMS服务中某个地域下创建密钥(或者使用KMS提供的默认密钥)。</li>
<li class="li">创建同一个地域下的Bucket时,启用服务端加密功能,选择加密密钥。</li>
<li class="li">用户上传对象时,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。</li>
</ol>
<p class="p">在使用服务端加密时请注意:</p>
<ul class="ul" id="dataencryption__ul_h3c_rgz_kkb">
<li class="li">如果使用了OBS服务端加密,那么被加密的桶及对象无法再支持跨区域复制和图片及视频处理功能。</li>
<li class="li">在使用加密OBS服务的过程中,密钥对不能被删除,如果被删除将导致加密的对象无法下载。<div class="note note note_note"><span class="note__title">说明:</span> 在此过程中,KMS负责保管用户密钥,会生成少量调用费用。</div></li>
</ul>
</section>
<section class="section" id="dataencryption__section_npv_dhz_kkb"><h2 class="doc-tairway">客户端加密</h2>
<p class="p">除服务端加密外,OBS也支持客户端加密。用户上传文件前,调用加密的接口在本地使用自己的密钥对文件进行加密。然后,将加密的对象上传到OBS桶中。用户下载文件时,得到的是密文文件,用户调用解密接口解密为明文。</p>
<div class="note note note_note"><span class="note__title">说明:</span> 客户端加密,需要用户在自己的本地保管加密的密钥。</div>
</section>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!