Шифрование бакета
Примечание
В регионе Казахстан доступна только зона доступности kz1-a.
В Object Storage есть возможность шифровать объекты в бакете с помощью ключей KMS:
- Добавьте шифрование бакету, чтобы все новые объекты шифровались указанным ключом.
- Указывайте ключ шифрования при загрузке объекта через API.
Внимание
Данные в Object Storage шифруются по схеме envelope encryption. Удаление ключа равносильно уничтожению зашифрованных им данных.
Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:
kms.keys.encrypter— для чтения ключа, шифрования и загрузки объектов;kms.keys.decrypter— для чтения ключа, расшифровки и скачивания объектов;kms.keys.encrypterDecrypter— включает разрешения, предоставляемые ролямиkms.keys.encrypterиkms.keys.decrypter.
Подробнее см. Сервисные роли Key Management Service.
Добавить шифрование бакету
Чтобы добавить ключ KMS:
-
В консоли управления выберите каталог.
-
Перейдите в сервис Object Storage.
-
Выберите бакет, для которого хотите настроить шифрование.
-
На панели слева выберите Безопасность.
-
Выберите вкладку Шифрование.
-
В поле Ключ KMS выберите ключ или создайте новый:
- Если в каталоге еще нет ключей, нажмите кнопку Создать ключ. Если ключи есть, но они вам не подходят, нажмите кнопку Создать.
- Введите имя ключа.
- Выберите алгоритм шифрования и период ротации.
- Нажмите Создать.
-
Нажмите Сохранить.
Примечание
Если вы работаете с Object Storage через Terraform от имени сервисного аккаунта, назначьте сервисному аккаунту нужную роль, например storage.admin, на каталог, в котором будут создаваться ресурсы.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
Перед началом работы получите IAM-токен для сервисного аккаунта и запишите его в файл.
Важно
Для корректной работы Terraform в регионе Казахстан укажите в конфигурационном файле Terraform в блоке provider эндпоинты API Yandex Cloud и Object Storage:
provider "yandex" {
zone = "kz1-a"
endpoint = "api.yandexcloud.kz:443"
storage_endpoint = "https://storage.yandexcloud.kz"
}
Подробнее о настройках провайдера см. в разделе Настройте провайдер.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
provider "yandex" { cloud_id = "<идентификатор_облака>" folder_id = "<идентификатор_каталога>" zone = "kz1-a" service_account_key_file = "key.json" } resource "yandex_iam_service_account" "sa" { name = "<имя_сервисного_аккаунта>" } // Назначение роли сервисному аккаунту resource "yandex_resourcemanager_folder_iam_member" "sa-admin" { folder_id = "<идентификатор_каталога>" role = "storage.admin" member = "serviceAccount:${yandex_iam_service_account.sa.id}" } // Создание статического ключа доступа resource "yandex_iam_service_account_static_access_key" "sa-static-key" { service_account_id = yandex_iam_service_account.sa.id description = "static access key for object storage" } resource "yandex_kms_symmetric_key" "key-a" { name = "<имя_ключа>" description = "<описание_ключа>" default_algorithm = "AES_128" rotation_period = "8760h" // 1 год } resource "yandex_storage_bucket" "test" { bucket = "<имя_бакета>" access_key = yandex_iam_service_account_static_access_key.sa-static-key.access_key secret_key = yandex_iam_service_account_static_access_key.sa-static-key.secret_key server_side_encryption_configuration { rule { apply_server_side_encryption_by_default { kms_master_key_id = yandex_kms_symmetric_key.key-a.id sse_algorithm = "aws:kms" } } } }Где:
service_account_key_file— путь к файлу, содержащему IAM-токен для сервисного аккаунта (или содержимое файла).default_algorithm— алгоритм шифрования, который будет использоваться с новой версией ключа. Новая версия генерируется при следующей ротации ключа. Значение по умолчаниюAES_128.rotation_period— период ротации. Чтобы отключить автоматическую ротацию, не указывайте этот параметр.apply_server_side_encryption_by_default— параметры шифрования по умолчанию на стороне сервера:kms_master_key_id— идентификатор мастер ключа KMS, используемый для шифрования.sse_algorithm— используемый алгоритм шифрования на стороне сервера. Поддерживается только значениеaws:kms.
Более подробную информацию о параметрах ресурса
yandex_storage_bucketв Terraform см. в документации провайдера. -
Примените изменения:
-
В терминале перейдите в директорию с конфигурационным файлом.
-
Проверьте корректность конфигурации с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
Проверить изменения можно в консоли управления.
-
Убрать шифрование бакета
Чтобы убрать шифрование, удалите ключ KMS:
- В консоли управления выберите каталог.
- Перейдите в сервис Object Storage.
- Выберите бакет, для которого хотите убрать шифрование.
- На панели слева выберите Безопасность.
- Выберите вкладку Шифрование.
- В поле Ключ KMS выберите Не выбрано.
- Нажмите Сохранить.
Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
Важно
Для корректной работы Terraform в регионе Казахстан укажите в конфигурационном файле Terraform в блоке provider эндпоинты API Yandex Cloud и Object Storage:
provider "yandex" {
zone = "kz1-a"
endpoint = "api.yandexcloud.kz:443"
storage_endpoint = "https://storage.yandexcloud.kz"
}
Подробнее о настройках провайдера см. в разделе Настройте провайдер.
Чтобы убрать шифрование бакета, созданного с помощью Terraform:
-
Откройте файл конфигурации Terraform и удалите блок
server_side_encryption_configurationв описании бакета.Пример описания бакета в конфигурации Terraform
... resource "yandex_storage_bucket" "test" { bucket = "my-bucket" access_key = "123JE02jKxusn********" secret_key = "ExamP1eSecReTKeykdo********" server_side_encryption_configuration { // Этот блок нужно удалить, чтобы отключить шифрование rule { apply_server_side_encryption_by_default { kms_master_key_id = "abjbeb2bgg4l********" sse_algorithm = "aws:kms" } } } } ... -
Примените изменения:
-
В терминале перейдите в директорию с конфигурационным файлом.
-
Проверьте корректность конфигурации с помощью команды:
terraform validateЕсли конфигурация является корректной, появится сообщение:
Success! The configuration is valid. -
Выполните команду:
terraform planВ терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply -
Подтвердите изменения: введите в терминале слово
yesи нажмите Enter.
Проверить изменения можно в консоли управления.
-