【产品技术】加密系列04：OBS服务端

当启用服务端加密功能后，在上传对象时，数据会在服务端加密成密文后存储。

在下载加密对象时，存储的密文会先在服务端解密为明文再提供。

KMS通过使用硬件安全模块（HSM）保护密钥安全的托管，轻松创建和管理加密密钥。密钥明文不会出现在HSM之外，避免密钥泄露。

KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足监督和合规性要求。

需要上传的对象可以通过KMS提供密钥的方式进行服务端加密。

首先需要在KMS中创建密钥（或者使用KMS提供的默认主密钥），在OBS中上传对象时使用该密钥进行服务端加密。

使用服务端加密方式上传文件（控制台）

密钥名称：用户主密钥名称，是用户在数据加密服务中创建的密钥，主要用于加密保护数据。

OBS会提供一个名为“obs/default”的默认密钥，用户可以选择使用默认密钥加密上传对象，也可通过数据加密服务页面创建的自定义密钥加密上传对象。

对象上传成功后，可在对象列表中查看对象的加密状态。

• 对象的加密状态不可以修改。

• 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

使用服务端加密方式上传文件（API）

也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式上传文件。

注：SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密