服务器端加密
OSS支持在服务器端对上传的数据进行加密编码(Server-Side Encryption):上传数据时,OSS对收到的用户数据进行加密,然后再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的HTTP请求Header中,声明该数据进行了服务器端加密。
OSS有如下两种服务器端加密方式:
- 使用OSS托管的CMK进行加密(SSE-KMS)
上传文件时,可以使用指定的CMK ID或者OSS托管的CMK进行加密操作。数据无需通过网络发送到KMS服务端进行加解密,是一种低成本的加解密方式。注意 使用KMS密钥功能时会产生少量的KMS密钥API调用费用,费用详情请参考KMS计费标准。
- 使用OSS完全托管加密(SSE-OSS)
上传文件时,OSS服务端使用完全托管的AES256进行加密操作。OSS会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。
配置Bucket加密
您可以通过以下代码设置Bucket默认加密方式,设置成功之后,所有上传至该Bucket但未设置加密方式的Object都会使用Bucket默认加密方式进行加密:
package main
import (
"fmt"
"os"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 创建OSSClient实例。
client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 初始化一个加密规则,加密方式以AES256为例。
config := oss.ServerEncryptionRule{SSEDefault: oss.SSEDefaultRule{SSEAlgorithm: "AES256"}}
err = client.SetBucketEncryption("yourBucketName", config)
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
} 获取Bucket加密配置
以下代码用于获取Bucket加密配置:
package main
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 创建OSSClient实例。
client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 获取加密规则。
ret, err := client.GetBucketEncryption("yourBucketName")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 打印加密规则。
fmt.Println("Encrypt rule", ret.SSEDefault.SSEAlgorithm)
}删除Bucket加密配置
以下代码用于删除Bucket加密配置:
package main
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 创建OSSClient实例。
client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 删除加密规则。
err = client.DeleteBucketEncryption("yourBucketName")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
}版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论