【产品技术】OBS服务端加密方式

当启用服务端加密功能后，在上传对象时，数据会在服务端加密成密文后存储。在下载加密对象时，存储的密文会先在服务端解密为明文后再提供。

KMS通过使用硬件安全模块（HSM）保护密钥安全的托管，轻松创建和管理加密密钥。密钥明文不会出现在HSM之外，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足监督和合规性要求。

需要上传的对象可以通过KMS提供密钥的方式进行服务端加密。首先需要在KMS中创建密钥（或者使用KMS提供的默认主密钥），在OBS中上传对象时使用该密钥进行服务端加密。

密钥名称：用户主密钥名称，是用户在数据加密服务中创建的密钥，主要用于加密保护数据。OBS会提供一个名为“obs/default”的默认密钥，用户可以选择使用默认密钥加密上传对象，也可以通过数据加密服务页面创建的自定义密钥加密上传对象。

对象上传成功后，可在对象列表中查看对象的加密状态。

• 对象的加密状态不可以修改。

• 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件。