阿里云对象存储 OSS 支持在服务器端对上传到存储空间(Bucket)的数据进行加密(Server-Side Encryption),对持久化在 OSS 上的数据进行加密保护。
背景信息
上传数据时,OSS 对收到的用户数据进行加密,然后再将得到的加密数据持久化保存下来;下载数据时,OSS 自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的
HTTP 请求 Header 中,声明该数据进行了服务器端加密。
您可以通过以下两种方式在 OSS 控制台上开启服务器端加密功能:
操作视频
观看以下视频,快速了解如何配置服务器端加密。
方式一:创建 Bucket 时开启服务器端加密功能
- 登录 OSS 管理控制台。
- 单击创建 Bucket。
- 在创建 Bucket 对话框填写各项参数。
其中,
服务器端加密栏选择您希望使用的加密方式,其他参数,请参见
创建存储空间。
- 无:不启用服务器端加密功能。
- AES256:使用 AES256 加密每个对象。OSS 会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。
- KMS:可以使用指定的 CMK ID 或者 KMS 默认托管的 CMK 进行加解密操作。KMS 加密详细的介绍请参考使用 KMS 托管密钥进行加解密。
- alias/acs/oss:使用默认托管的 CMK 生成不同的密钥来加密不同的对象,并且在下载时自动解密。
- CMK ID:使用指定的 CMK 生成不同的密钥来加密不同的对象,并将加密 Object 的 CMK ID 记录到对象的元数据中,因此具有解密权限的用户下载对象时会自动解密。选择指定的
CMK ID 前,需在 KMS 管理控制台创建一个与 Bucket 相同地域的普通密钥或外部密钥。目前此项公测中,请联系技术支持添加权限。
- 单击确定。
方式二:在基础设置页签开启服务器端加密功能
- 登录 OSS 管理控制台。
- 在左侧存储空间列表中,单击目标存储空间名称,打开该存储空间概览页面。
- 单击基础设置,在服务器端加密区域,单击设置。
- 无:不启用服务器端加密功能。
- AES256:使用 AES256 加密每个对象。OSS 会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。
- KMS:可以使用指定的 CMK ID 或者 KMS 默认托管的 CMK 进行加解密操作。KMS 加密详细的介绍请参考使用 KMS 托管密钥进行加解密。
- alias/acs/oss:使用默认托管的 CMK 生成不同的密钥来加密不同的对象,并且在下载时自动解密。
- CMK ID:使用指定的 CMK 生成不同的密钥来加密不同的对象,并将加密 Object 的 CMK ID 记录到对象的元数据中,因此具有解密权限的用户下载对象时会自动解密。选择指定的
CMK ID 前,需在 KMS 管理控制台创建一个与 Bucket 相同地域的普通密钥或外部密钥。目前此项公测中,请联系技术支持添加权限。
- 单击保存。
注意 开启或修改 Bucket 默认加密方式不会对 Bucket 内已有文件添加或修改加密方式。
评论