Шифрование бакета

Статья создана

Добавить шифрование бакету
Убрать шифрование бакета

В Object Storage есть возможность шифровать объекты в бакете с помощью ключей KMS:

Добавьте шифрование бакету, чтобы все новые объекты шифровались указанным ключом.
Указывайте ключ шифрования при загрузке объекта через API.

Внимание

Данные в Object Storage шифруются по схеме envelope encryption. Удаление ключа равносильно уничтожению зашифрованных им данных.

Добавить шифрование бакету

Консоль управления

Terraform

Чтобы добавить ключ KMS:

В консоли управления перейдите в бакет, для которого хотите настроить шифрование.
В левой панели выберите Шифрование.
В поле Ключ KMS выберите ключ.
Нажмите кнопку Сохранить.

Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex.Cloud.

Перед началом работы, получите IAM-токен для сервисного аккаунта и запишите его в файл.

Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
- service_account_key_file — путь к файлу, содержащему IAM-токен для сервисного аккаунта (или содержимое файла).
- default_algorithm — алгоритм шифрования, который будет использоваться с новой версией ключа генерируется при следующей ротации ключа. Значение по умолчанию AES_128.
- rotation_period — период ротации. Чтобы отключить автоматическую ротацию, не указывайте этот параметр.
- apply_server_side_encryption_by_default — параметры шифрования по умолчанию на стороне сервера:
  - kms_master_key_id — идентификатор мастер ключа KMS, используемый для шифрования.
  - sse_algorithm — используемый алгоритм шифрования на стороне сервера. Поддерживается только значение aws:kms.
```
provider "yandex" {
  cloud_id  = "<идентификатор облака>"
  folder_id = "<идентификатор каталога>"
  zone      = "ru-central1-a"
  service_account_key_file = "key.json"
  }


resource "yandex_kms_symmetric_key" "key-a" {
  name              = "<имя ключа>"
  description       = "<описание ключа>"
  default_algorithm = "AES_128"
  rotation_period   = "8760h" // 1 год
}

resource "yandex_storage_bucket" "test" {
  bucket = "<имя бакета>"
  access_key = "<идентификатор статического ключа>"
  secret_key = "<секретный ключ>"
  server_side_encryption_configuration {
    rule {
      apply_server_side_encryption_by_default {
        kms_master_key_id = yandex_kms_symmetric_key.key-a.id
        sse_algorithm     = "aws:kms"
      }
    }
  }
}
```
Проверьте корректность конфигурационных файлов.
1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
2. Выполните проверку с помощью команды:
```
terraform plan
```
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
Разверните облачные ресурсы.
1. Если в конфигурации нет ошибок, выполните команду:
```
terraform apply
```
1. Подтвердите создание ресурсов.
После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления.

Убрать шифрование бакета

Консоль управления

Чтобы убрать шифрование, удалите ключ KMS:

В консоли управления перейдите в бакет, для которого хотите удалить шифрование.
В левой панели выберите Шифрование.
В поле Ключ KMS выберите Без шифрования.
Нажмите кнопку Сохранить.

Шифрование бакета

Добавить шифрование бакету

Убрать шифрование бакета

Была ли статья полезна?