常见问题-加密
常见问题可以提供有用的答案,让您深入了解使用 IBM Cloud® Object Storage 的最佳实践。
我可以使用哪些类型的认证来访问 IBM Cloud® Object Storage?
您可以使用 OAuth 2 令牌或 HMAC 密钥进行认证。 HMAC 密钥可用于 S3-compatible 工具,例如 rclone
,Cyberduck
和其他工具。
- 有关获取 OAuth 令牌的指示信息,请参阅 使用 API 密钥生成 IBM Cloud IAM 令牌。
- 有关获取 HMAC 凭证的指示信息,请参阅 使用 HMAC 凭证。
另请参阅 API 密钥与 HMAC。
Object Storage 是否提供静态和动态加密?
需要。 静态数据使用自动提供程序端高级加密标准 (AES) 256 位加密和安全散列算法 (SHA)-256 散列进行加密。 通过使用内置运营商级传输层安全性/安全套接字层 (TLS/SSL) 或使用 AES 加密的 SNMPv3 来保护动态数据。
如果要对加密进行更多控制,可以使用 IBM Key Protect 来管理生成的密钥或“自带”密钥。 有关详细信息,请参阅 密钥保护 COS 集成。
如果客户要对其数据进行加密,是否有其他加密处理?
对于客户数据,服务器端加密永远启用。 与 S3 认证和擦除编码中所需的散列相比,加密不是 Object Storage处理成本的重要部分。
Object Storage 是否对所有数据进行加密?
是的,Object Storage 会加密所有数据。
如何加密数据?
- 转至 管理加密 的 IBM Cloud Object Storage 文档以研究加密主题。
- 根据您的加密需求,在 IBM® Key Protect for IBM Cloud® 和 Hyper Protect Crypto Services 之间进行选择。
- 请记住,客户提供的密钥是对对象实施的。
- 使用 IBM Key Protect 或 Hyper Protect Crypto Services 来创建,添加和管理密钥,然后可以将这些密钥与 IBM Cloud Object Storage实例相关联。
- 授予服务授权
- 打开 IBM Cloud 仪表板。
- 在菜单栏中,单击管理 > 访问权。
- 在侧边导航中,单击授权。
- 单击创建授权。
- 在源服务菜单中,选择 Cloud Object Storage。
- 在源服务实例菜单中,选择要授权的服务实例。
- 在目标服务菜单中,选择 IBM Key Protect 或 Hyper Protect Crypto Services。
- 在目标服务实例菜单中,选择要授权的服务实例。
- 启用读取者角色。
- 单击 授权
Object Storage 是否符合 FIPS 140-2 加密算法?
是的,IBM COS Federal 产品已获得 FedRAMP 审核安全控件的批准,这些控件需要经过验证的 FIPS 配置。 IBM COS Federal 已通过 FIPS 140-$tag3 级别的认证 1。 有关 COS Federal 产品的更多信息,请通过我们的联邦站点 联系我们。
是否支持客户机密钥加密?
是,使用 SSE-C,Key Protect或 HPCS 支持客户机密钥加密。
缺省情况下是否将加密应用于存储区?
是,缺省情况下,存储在 Object Storage 中的所有对象都使用随机生成的密钥和全部或全部无变换 (AONT) 进行加密。 您可以使用 IBM Cloud UI/CLI 获取加密详细信息。 有关详细信息,请参阅 Cloud Storage Encryption。