对象存储OBS桶默认加密_对象存储（OBS）

对象存储（OBS）的桶默认加密功能简介

对象存储服务（Object Storage Service，简称OBS）是一种安全、稳定、高效的云存储服务，桶默认加密是OBS提供的一种数据保护机制，通过这种机制可以确保上传到桶中的对象自动使用指定的密钥进行加密，从而提升数据的安全性。

开启桶默认加密的步骤

1、选择桶进行操作

在OBS管理控制台左侧导航栏选择“对象存储”。

在桶列表中单击待操作的桶，进入“对象”页面。

2、进入概览页面

在左侧导航栏中，单击“概览”，进入“概览”页面。

3、配置默认加密

在概览页的“基础配置”区域下，单击“默认加密”卡片，系统弹出“默认加密”对话框。

选择“SSEKMS”或“SSEOBS”，选择“SSEKMS”需要进一步选择加密密钥类型：可以使用默认密钥，也可以创建自定义密钥。

4、完成配置

单击“确定”，完成桶默认加密的配置。

关闭桶默认加密的方法

1、进入桶设置

与开启桶默认加密的前两步相同，进入“对象”页面和“概览”页面。

2、关闭默认加密

在“基础配置”区域下，单击“默认加密”卡片，系统弹出“默认加密”对话框。

选择“不开启加密”，然后单击“确定”。

关闭桶默认加密不会影响桶中已有对象的加密状态，也不会在上传对象时自动进行加密，若要对个别对象进行加密，需要在上传对象时单独指定加密方式。

访问或下载已加密的对象的方法

1、对象指定SSEOBS加密

如果开启了公共读权限，可以直接访问对象。

2、对象指定SSEC或SSEKMS加密

无法直接访问，即使开启了公共读权限，需要调用API接口来访问或下载对象。

可以使用具有KMS CMKFullAccess权限的用户访问加密对象，且用户拥有权限的区域需与对象所在桶的区域一致。

可以使用分享对象后生成的临时URL进行访问，服务端会自动解密。

相关问题与解答

Q1: 如何给匿名用户访问已加密的对象？

A1: 可以先分享已加密的对象，使用分享后的URL发送给匿名用户即可访问，如果对象是通过SSEOBS加密并开启了公共读权限，则可以直接访问；如果是通过SSEC或SSEKMS加密，需要使用临时URL访问。

Q2: OBS支持哪些服务端加密方式？

A2: OBS支持的服务端加密方式包括SSEKMS、SSEOBS和SSEC，SSEKMS使用用户指定的KMS密钥进行加密；SSEOBS使用OBS服务创建和管理的密钥进行加密；SSEC使用服务器端的加密方法。