【最佳实践】使用BYOK密钥加密OSS中对象

  1. 云栖社区>
  2. 阿里云存储服务>
  3. 博客>
  4. 正文

【最佳实践】使用BYOK密钥加密OSS中对象

陈鹏飞Figo Chen 2018-10-24 20:50:08 浏览1974
展开阅读全文

1. 服务端加密介绍

使用服务器端加密方式保护静态数据,即OSS将用户数据写入数据中心内的磁盘时,会在对象级别加密数据,并且在访问这些数据时自动解密。用户只需要验证请求是否拥有访问权限。当前OSS支持如下两种服务端加密方式(注意:您不能对同一对象同时应用两种不同类型的服务器端加密方式):

  • 使用由OSS完全托管的服务端加密功能:数据加密密钥的生成和管理,由OSS负责,并采用高强度、多因素的安全措施进行保护。数据加密的算法采用使用行业标准的强加密算法AES-256(即256位高级加密标准)。
  • 使用由KMS托管密钥的服务端加密功能:除了采用AES-256加密算法外,KMS负责保管用户主密钥CMK(对数据密钥进行加密的密钥),以及生成数据加密的密钥,通过信封加密机制,进一步防止未经授权的数据访问。其中,会涉及少量额外的KMS密钥API调用

网友评论

登录后评论
0/500
评论
陈鹏飞Figo Chen
+ 关注
所属云栖号: 阿里云存储服务