Шифрование в Object Storage

При использовании сервиса Yandex Object Storage критичные данные должны быть зашифрованы.

Шифрование бакета Object Storage с помощью ключей Yandex Key Management Service (server-side encryption) — рекомендуемый подход. Такое шифрование защищает от случайной или намеренной публикации содержимого бакета в интернете.

Шифрование выполняется на стороне сервера (server-side encryption) с помощью ключей, хранящихся в Key Management Service. Созданный KMS-ключ указывается в настройках бакета. Этот ключ будет использоваться для шифрования всех новых объектов или при загрузке объекта через API.

Объекты шифруются перед сохранением в бакет и расшифровываются при скачивании из него. Шифрование по умолчанию применяется ко всем новым объектам, при этом загруженные ранее — остаются без изменений.

Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:

• kms.keys.encrypter — для чтения ключа, шифрования и загрузки объектов;
• kms.keys.decrypter — для чтения ключа, расшифровки и скачивания объектов;
• kms.keys.encrypterDecrypter — включает разрешения, предоставляемые ролями kms.keys.encrypter и kms.keys.decrypter.

Подробнее см. Сервисные роли Key Management Service.

Кроме шифрования с помощью Key Management Service-ключей, вы можете использовать следующие подходы:

• Интеграция Object Storage с сервисом Key Management Service для шифрования данных на уровне приложения (client-side encryption). Подробнее смотрите в разделе 4. Шифрование данных и управление ключами и секретами.
• Шифрование данных на уровне приложения перед отправкой их в Object Storage с помощью сторонних библиотек. При использовании сторонних библиотек и собственных способов управления ключами следует убедиться, что схема работы, используемые алгоритмы и длины ключей соответствуют требованиям регуляторов.

См. такжеСм. также

• Шифрование бакета
• Управление ключами