用户可根据需要对对象进行服务端加密,使对象更安全的存储在OBS中。
约束与限制
● 对象的加密状态不可以修改。
● 使用中的密钥不可以删除,如果删除将导致加密对象不能下载。
● 对象进行服务端加密后,且未在IAM进行委托的情况下,即使其他帐号和用户拥 有该对象的读权限,也无法访问该对象。
前提条件
已通过IAM服务添加OBS所在区域的KMS Administrator权限,权限添加方法请参见 给IAM用户授权。如果当前帐号或用户是被委托方,也需要在委托中被授予KMS Administrator权限。
数据加密服务收费请参见产品收费详情。
控制台指南 8 配置服务端加密
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在左侧导航栏,单击“对象”。
步骤4 单击“上传对象”,系统弹出“上传对象”对话框。
步骤5 添加待上传的文件。
步骤6 勾选“KMS加密”,在后面的选择框中选择您在数据加密服务中创建的KMS密钥。
说明
若桶已开启了默认加密,上传对象会继承桶的KMS加密特性。
当勾选“KMS加密”后,KMS密钥会默认选中“obs/default”。您也可以通过单击
“创建KMS密钥”进入数据加密服务页面创建自定义密钥,然后通过KMS密钥的下拉 框选中您创建的KMS密钥。
自定义密钥请参见创建密钥。
图8-2 加密上传对象
步骤7 单击“上传”。
对象上传成功后,可在对象列表中查看对象的加密状态。
----结束
控制台指南 8 配置服务端加密
9 配置对象元数据
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在左侧导航栏,单击“对象”。
步骤4 单击待操作的对象,然后再单击“元数据”。
步骤5 单击“增加”,如图9-1所示。根据需要填写元数据信息。
图9-1 增加元数据
步骤6 单击“保存”。
----结束
控制台指南 9 配置对象元数据
10 配置桶清单
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在左侧导航栏,单击“桶清单”进入“桶清单”页面。
步骤4 单击“创建”,系统弹出“创建桶清单”对话框。
图10-1 清单配置
步骤5 设置“清单配置”相关参数。
表10-1 清单配置参数说明
参数 描述
清单名称 桶清单的名称。
控制台指南 10 配置桶清单
参数 描述
筛选条件 桶清单筛选条件,OBS会为筛选出来的对象生成清单。
目前仅支持通过对象名前缀进行筛选;或者不输入,表示 对桶中所有对象生成清单。
同一个桶中多条清单规则的筛选条件不能彼此包含。
清单存储桶 存储桶清单文件的桶,只能选择与源桶相同区域的桶。
清单文件前缀 清单文件的存储路径前缀。
清单文件生成后,将存储至清单存储桶的以下路径:清单 文件前缀/源桶名/清单名称/日期时间/files/
如不配置此参数,上述路径的一级目录“清单文件前缀”
将由系统自动生成并命名为“BucketInventory”。
生成频率 设定桶清单的生成频率:每天或每周。
清单状态 开启,表示按照相关设置生成桶清单;关闭,表示不生成 桶清单。
步骤6 单击“下一步”,进入“报表配置”页面。
图10-2 报表配置
步骤7 设置“报表格式”相关参数。
表10-2 报表格式参数说明
参数 描述
清单格式 支持生成CVS格式的桶清单文件。
对象版本 报表中对象的版本,可以设置为“仅限当前版本”和“包 含所有版本”。
清单额外字段 桶清单文件中包含的对象信息:文件大小、上次修改时 间、存储类别、Etag、分段上传、复制状态、加密状态。
控制台指南 10 配置桶清单
参数 描述
发送通知 当有新的清单生成时发送消息通知,消息将发送到SMN主 题中指定的邮箱或手机等终端。
开启发送通知,会同步在清单存储桶中创建SMN事件通知 规则,所创建规则的详细信息可以在清单存储桶的SMN事 件通知页面查看。关闭发送通知或修改通知的SMN主题,
也会同步删除或修改已创建的SMN事件通知规则。
步骤8 单击“下一步”,确认桶策略。
OBS将在桶清单存储桶上创建桶策略,以允许其将清单文件存入该桶。
步骤9 单击“创建”。
----结束
控制台指南 10 配置桶清单
11 配置归档数据直读
桶开启归档数据直读后,存储类别为归档存储的对象可以直接访问,无需提前恢复。
下载和拷贝归档存储对象均会产生归档数据直读的数据读取流量费用,收费详情请参 见产品价格详情。
您可以在创建桶时开启归档数据直读,详情请见创建桶;也可以在已创建的桶中根据 需要开启归档数据直读,详细操作步骤如下。
说明
当前归档数据直读功能仅在以下区域开放:华北-北京一、华北-北京四、华东-上海一、华东-上 海二、华南-广州、西南-贵阳一。
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在“基础配置”下,单击“归档数据直读”卡片,系统弹出“归档数据直读”对话 框。
步骤4 选择“开启”。
图11-1 开启归档数据直读
控制台指南 11 配置归档数据直读
步骤5 单击“确定”。
----结束
控制台指南 11 配置归档数据直读
12 配置多版本控制
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 鼠标滑过“基本信息”区域“多版本控制”参数后面的“未启用”、“暂停”或“已 启用”,在右侧会显示“编辑”按钮。单击“编辑”,系统弹出多版本控制对话框。
说明
“编辑”按钮默认隐藏,需要将鼠标指向下图所示位置时,方可显示。
图12-1 配置多版本控制入口
控制台指南 12 配置多版本控制
步骤4 选择“启用”,如图12-2所示。
图12-2 多版本控制
步骤5 单击“确定”,启用目标桶中对象的多版本控制。
步骤6 单击待查看的对象,进入对象详情页面。在“版本”页签,查看一个对象的多个版 本。
图12-3 查看对象多版本
----结束
相关操作
开启多版本控制后,进入对象详情页面,在“版本”页签,可以对多版本对象进行删 除、下载操作。
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在左侧导航栏选中“对象”。
步骤4 在“对象”列表,选择待操作的对象,进入对象详情页面。
步骤5 在“版本”页签,显示该对象的所有版本。
步骤6 对多版本对象可做以下操作。
控制台指南 12 配置多版本控制
1. 在待操作版本对象右侧,单击“下载”,可下载该版本对象。
说明
若该版本对象为“归档存储”类别,需要先恢复,再下载。
2. 在待操作版本对象右侧,单击“分享”,可分享该版本对象。
3. 在待操作版本对象右侧,单击“删除”,将永久删除该版本对象,不可恢复。若 删除的是最新版本的对象,那么时间最近的历史版本将变成新的最新版本。
----结束
控制台指南 12 配置多版本控制
13 配置桶的日志记录
当一个桶开启了日志记录功能后,OBS自动将该桶的日志按照固定的命名规则,生成 一个对象写入用户指定的桶。
桶日志上传会产生相应的PUT请求费用,PUT请求费用的具体说明请参考请求费用。
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在“基础配置”下,单击“日志记录”卡片,系统弹出“日志记录”对话框。
步骤4 选择“启用”,如图13-1所示。
控制台指南 13 配置桶的日志记录
图13-1 日志记录
步骤5 选择“日志存储桶”(已经存在的桶),指定日志文件生成后将上传到哪个桶中。
步骤6 设置“日志文件前缀”,指定日志文件的前缀。
启用日志记录功能后,生成的日志文件根据如下规则命名:
<日志文件前缀>YYYY-mm-DD-HH-MM-SS-<UniqueString>
● <日志文件前缀>为用户指定的日志文件日志存储前缀。
● YYYY-mm-DD-HH-MM-SS为日志生成的日期与时间,各字段依次表示年、月、
日、时、分、秒。
● <UniqueString>为OBS自动生成的字符串。
在管理控制台中,如果配置的目标前缀<日志文件前缀>以斜杠/结尾,则该桶生成的日 志文件在目标桶中将统一存放在以<日志文件前缀>命名的文件夹中,方便您进行管 理。
例如:
● 如果配置日志存储桶为bucket,日志文件前缀为bucket-log/,则所有日志都将 保存在bucket内的文件夹bucket-log中。日志命名举例:
2015-06-29-12-22-07-N7MXLAF1BDG7MPDV。
● 如果配置日志存储桶为bucket,日志文件前缀为bucket-log,则所有日志都将直
接保存在bucket中。日志命名举例:bucket-log2015-06-29-12-22-07-N7MXLAF1BDG7MPDV。
步骤7 选择“IAM委托”,给OBS授予上传日志文件到日志存储桶的权限。
控制台指南 13 配置桶的日志记录
默认情况下,在为委托配置权限时只需设置日志存储桶的上传对象(PutObject)权 限,示例如下(其中mybucketlogs为日志存储桶的桶名)。如果日志存储桶开启了默 认加密功能,还需要委托同时具有日志存储桶所在区域的KMS Administrator权限。
{ "Version": "1.1", "Statement": [ {
"Action": [
"obs:object:PutObject"
],
"Resource": [
"OBS:*:*:object:mybucketlogs/*"
],
"Effect": "Allow"
} ] }
您可以从下拉列表选择帐号下已有的IAM委托,也可以单击“创建委托”去创建一个 新的委托。创建委托的方法,请参见创建IAM委托。
步骤8 单击“确定”。
日志记录设置成功后,大约15分钟后可在日志存储桶中查看到桶的操作日志。
----结束
相关操作
若您不再需要记录日志,在“日志记录”对话框,勾选“关闭”后,单击“确定”。
关闭“日志记录”后,日志不再保存,之前保存的日志仍然在目标桶。
控制台指南 13 配置桶的日志记录
14 配置桶标签
您可以在创建桶时,配置其标签,详见创建桶。您也可以在桶创建后,再配置其标 签。本章节介绍桶创建后标签的配置方法。
操作步骤
步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。
步骤2 在桶列表单击待操作的桶,进入“概览”页面。
步骤3 在“基础配置”下,单击“标签”卡片,系统跳转至“标签”界面。
步骤3 在“基础配置”下,单击“标签”卡片,系统跳转至“标签”界面。