tencent cloud

对象存储

动态与公告
产品动态
产品公告
产品简介
产品概述
功能概览
应用场景
产品优势
基本概念
地域和访问域名
规格与限制
产品计费
计费概述
计费方式
计费项
免费额度
计费示例
查看和下载账单
欠费说明
常见问题
快速入门
控制台快速入门
COSBrowser 快速入门
用户指南
创建请求
存储桶
对象
数据管理
批量处理
全球加速
监控与告警
运维中心
数据处理
内容审核
智能工具箱
数据工作流
应用集成
工具指南
工具概览
环境安装与配置
COSBrowser 工具
COSCLI 工具
COSCMD 工具
COS Migration 工具
FTP Server 工具
Hadoop 工具
COSDistCp 工具
HDFS TO COS 工具
GooseFS-Lite 工具
在线辅助工具
自助诊断工具
实践教程
概览
访问控制与权限管理
性能优化
使用 AWS S3 SDK 访问 COS
数据容灾备份
域名管理实践
图片处理实践
COS 音视频播放器实践
工作流实践
数据直传
内容审核实践
数据安全
数据校验
大数据实践
COS 成本优化解决方案
在第三方应用中使用 COS
迁移指南
本地数据迁移至 COS
第三方云存储数据迁移至 COS
以 URL 作为源地址的数据迁移至 COS
COS 之间数据迁移
Hadoop 文件系统与 COS 之间的数据迁移
数据湖存储
云原生数据湖
元数据加速
数据加速器 GooseFS
数据处理
数据处理概述
图片处理
媒体处理
内容审核
文件处理
文档处理
故障处理
获取 RequestId 操作指引
通过外网上传文件至 COS 缓慢
访问 COS 时返回403错误码
资源访问异常
POST Object 常见异常
API 文档
简介
公共请求头部
公共响应头部
错误码
请求签名
操作列表
Service 接口
Bucket 接口
Object 接口
批量处理接口
数据处理接口
任务与工作流
内容审核接口
云查毒接口
SDK 文档
SDK 概览
准备工作
Android SDK
C SDK
C++ SDK
.NET(C#) SDK
Flutter SDK
Go SDK
iOS SDK
Java SDK
JavaScript SDK
Node.js SDK
PHP SDK
Python SDK
React Native SDK
小程序 SDK
错误码
鸿蒙(Harmony) SDK
终端 SDK 质量优化
安全与合规
数据容灾
数据安全
访问管理
常见问题
热门问题
一般性问题
计费计量问题
域名合规问题
存储桶配置问题
域名和 CDN 问题
文件操作问题
日志监控问题
权限管理问题
数据处理问题
数据安全问题
预签名 URL 问题
SDK 类问题
工具类问题
API 类问题
服务协议
Service Level Agreement
隐私政策
数据处理和安全协议
联系我们
词汇表
文档对象存储数据湖存储元数据加速大数据安全服务端加密功能介绍

服务端加密功能介绍

PDF
聚焦模式
字号
最后更新时间: 2025-12-22 16:32:05

概述

元数据加速桶是一种特殊类型的存储桶,对服务端加密功能的支持情况、配置和使用方法相比普通存储桶有一些不同的地方。关于服务端加密的一些基础介绍,请参见 服务端加密概述
本文档详细介绍了元数据加速桶与普通存储桶的服务端加密功能的差异,以及元数据加速桶服务端加密功能的使用方法。

服务端加密功能支持情况

普通桶和元数据加速桶对服务端加密的支持情况如下表所示:
访问方法
服务端加密类型
普通桶
元数据加速桶
S3接口
SSE-C
支持
不支持
SSE-COS
支持
支持
SSE-KMS
支持
不支持
HDFS 接口
SSE-C
支持
支持
SSE-COS
支持
支持
SSE-KMS
支持
支持
注意:
除上述表格所列出的区别外,元数据加速桶还有两个额外的使用限制:
不支持存储桶加密(可参考 存储桶加密概述),包括控制台配置和 REST API 配置都不支持。
仅支持 AES256加密算法,不支持 SM4加密算法。

服务端加密功能使用方法

元数据加速桶的服务端加密配置方式取决于访问接口类型:
S3 接口访问:配置加密方式的方法跟普通桶一致,请参见 服务端加密专用头部 设置请求头参数。
HDFS 接口访问:需根据使用的客户端( OFS 客户端或 COSN 客户端)的不同,选择不同的配置方法。关于两种客户端的详情,请参见 客户端介绍

下文列出的配置项,都需要在 Hadoop 的 core-site.xml 文件中添加或者修改,具体操作路径因环境而异:
腾讯云的 EMR 产品:通过 EMR控制台 操作,编辑 core-site.xml 配置文件的方法请参见 配置更新
自建的大数据环境:core-site.xml 文件一般位于 $HADOOP_HOME/etc/hadoop 目录下,具体取决于大数据组件的安装方式和发行版本。

OFS 客户端

使用 OFS 客户端时,各种加密方式的配置项介绍如下:

SSE-C 加密

配置项
配置描述
是否必选
fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-C
fs.ofs.sse.c.key
格式为 Base64编码的 AES-256密钥,如MDEyMzQ1Njc4OUFCQ0RFRjAxMjM0NTY3ODlBQkNERUY=

SSE-COS 加密

配置项
配置描述
是否必选
fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-COS

SSE-KMS 加密

配置项
配置描述
是否必选
fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-KMS
fs.ofs.sse.kms.keyid
指定 KMS 的用户主密钥 CMK,如不指定,则使用 COS 默认创建的 CMK。
示例值:93866e69-9755-11ef-8e65-52540089bc41
fs.ofs.sse.kms.context
指定 KMS 加密的上下文,值为 JSON 格式加密上下文键值对的 Base64编码。
示例值:eyJrZXkxIjoidmFsdWUxIn0=

COSN 客户端

使用 COSN 客户端时,各种加密方式的配置项介绍如下:

SSE-C加密

配置项
配置描述
是否必选
fs.cosn.trsf.fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-C
fs.cosn.trsf.fs.ofs.sse.c.key
格式为 Base64编码的 AES-256密钥,如MDEyMzQ1Njc4OUFCQ0RFRjAxMjM0NTY3ODlBQkNERUY=

SSE-COS 加密

配置项
配置描述
是否必选
fs.cosn.trsf.fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-COS

SSE-KMS 加密

配置项
配置描述
是否必选
fs.cosn.trsf.fs.ofs.sse.mode
指定服务端加密方式,此处为 SSE-KMS
fs.cosn.trsf.fs.ofs.sse.kms.keyid
指定 KMS 的用户主密钥 CMK,如不指定,则使用 COS 默认创建的 CMK。
示例值:93866e69-9755-11ef-8e65-52540089bc41
fs.cosn.trsf.fs.ofs.sse.kms.context
指定 KMS 加密的上下文,值为 JSON 格式加密上下文键值对的 Base64编码。
示例值:eyJrZXkxIjoidmFsdWUxIn0=
上一篇: Ranger 介绍说明下一篇: 元数据加速桶生命周期

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈