CDM進階指導之文件加密

在遷移文件到文件系統時，CDM支持對文件進行AES-256-GCM或KMS加密

AES-256-GCM加密

目前只支持AES-256-GCM（NoPadding）。該加密算法在目的端為加密，在源端為解密，支持的源端與目的端數據源如下。

源端支持的數據源：OBS、FTP、SFTP、NAS、SFS、HDFS（使用二進制格式傳輸時支持）、HTTP（適用于OBS共享文件的下載場景）。

目的端支持的數據源：OBS、FTP、SFTP、NAS、SFS、HDFS（使用二進制格式傳輸時支持）。

下面以導入文件到OBS時加密，然后從OBS導出加密文件時解密為例，介紹AES-256-GCM加解密的使用方法。其它數據源的使用方法一樣。

創建CDM導入文件到OBS的作業時，目的端數據源選擇OBS后，在“目的端作業配置”的“高級屬性”中，配置如下參數。

加密方式：選擇“AES-256-GCM”。

數據加密密鑰：用戶自定義密鑰，密鑰由長度64的十六進制數組成，不區分大小寫但必須64位，例如“DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B”。

初始化向量：用戶自定義初始化向量，初始化向量由長度32的十六進制數組成，不區分大小寫但必須32位，例如“5C91687BA886EDCD12ACBC3FF19A3C3F”。

這樣在CDM導入文件到OBS時，目的端OBS上的文件便是經過AES-256-GCM算法加密后的文件。

創建從OBS導出文件的CDM作業時，源端數據源選擇OBS后，在“源端作業配置”的“高級屬性”中，配置如下參數。

加密方式：選擇“AES-256-GCM”。

數據加密密鑰：這里的密鑰必須與加密時配置的密鑰一致，否則解密出來的數據會錯誤，且系統不會提示異常。

初始化向量：這里的初始化向量必須與加密時配置的初始化向量一致，否則解密出來的數據會錯誤，且系統不會提示異常。

這樣CDM從OBS導出加密過的文件時，寫入目的端的文件便是解密后的明文文件。

KMS加密

CDM目前只支持導入文件到OBS時使用KMS加密，表/文件遷移和整庫遷移都支持，在“目的端作業配置”的“高級屬性”中配置，如圖9-12所示。

KMS密鑰需要先在數據加密服務創建，具體操作請參見《數據加密服務用戶指南》。

當啟用KMS加密功能后，用戶上傳對象時，數據會加密成密文存儲在OBS。用戶從OBS下載加密對象時，存儲的密文會先在OBS服務端解密為明文，再提供給用戶。

說明

如果選擇使用KMS加密，則無法進行MD5校驗文件一致性

如果這里使用其它項目的KMS ID，則需要修改“項目ID”參數，修改為KMS ID所屬的項目ID；如果KMS ID與CDM在同一個項目下，“項目ID”參數保持默認即可。

使用KMS加密后，OBS上對象的加密狀態不可以修改。

使用中的KMS密鑰不可以刪除，如果刪除將導致加密對象不能下載。

云數據遷移 CDM 對象存儲服務 OBS

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。