當您在設置了服務器端加密的存儲空間(Bucket)中上傳文件(Object)時,OSS對收到的文件進行加密,再將得到的加密文件持久化保存。當您通過GetObject請求下載文件時,OSS自動將加密文件解密后返回給用戶,并在響應頭中返回x-oss-server-side-encryption,用于聲明該文件進行了服務器端加密。
關于響應頭中x-oss-server-side-encryption的更多信息,請參見響應頭。
使用場景
OSS通過服務器端加密機制,提供靜態數據保護。適合于對于文件存儲有高安全性或者合規性要求的應用場景。例如,深度學習樣本文件的存儲、在線協作類文檔數據的存儲。
注意事項
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北 3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、美國(硅谷)、美國(弗吉尼亞)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷)、德國(法蘭克福)、英國(倫敦)、阿聯酋(迪拜)地域支持開啟服務器端加密。
在開啟了SSE-KMS加密的Bucket中請求上傳、下載、訪問文件,需確保對指定的CMK ID擁有使用權限,且請求類型不是匿名請求,否則請求失敗,并返回
This request is forbidden by kms。無地域屬性存儲空間僅支持SSE-OSS加密方式,不支持SSE-KMS加密方式。
鏡像回源至Bucket中的文件默認不加密。
開啟或修改Bucket加密方式不影響Bucket中已有文件的加密配置。
同一個Object在同一時間內僅可以使用一種服務器端加密方式。
如果配置了存儲空間加密,仍然可以在上傳或拷貝Object時單獨對Object配置加密方式,且以Object配置的加密方式為準。更多信息,請參見PutObject。
加密方式
OSS針對不同使用場景提供了兩種服務器端加密方式,您可以根據實際使用場景選用。
加密方式 | 功能描述 | 使用場景 | 注意事項 | 費用說明 |
使用KMS托管密鑰進行加解密(SSE-KMS) | 使用KMS托管的默認CMK(Customer Master Key)或指定CMK進行加解密操作。數據無需通過網絡發送到KMS服務端進行加解密。 | 因安全合規的要求,需要使用自管理、可指定的密鑰。 |
| 在KMS服務側產生少量的KMS密鑰請求費用。費用詳情,請參見KMS計費標準。 |
使用OSS完全托管密鑰進行加解密(SSE-OSS) | 使用OSS完全托管的密鑰加密每個Object。為了提升安全性,OSS還會使用主密鑰對加密密鑰本身進行加密。 | 僅需要基礎的加密能力,對密鑰無自管理需求。 | 無。 | 免費。 |
操作步驟
使用OSS控制臺
方式一:為Bucket開啟服務器端加密
創建Bucket時開啟服務器端加密功能
登錄OSS管理控制臺。
單擊Bucket列表,然后單擊創建Bucket。
在創建Bucket面板,按以下說明填寫各項參數。
其中,服務器端加密區域配置參數說明如下:
參數
說明
服務端加密方式
選擇Object的加密方式。取值范圍如下:
無:不啟用服務器端加密。
OSS完全托管:使用OSS托管的密鑰進行加密。OSS會為每個Object使用不同的密鑰進行加密,作為額外的保護,OSS會使用主密鑰對加密密鑰本身進行加密。
KMS:使用KMS默認托管的CMK或指定CMK ID進行加解密操作。
使用KMS加密方式前,需要開通KMS服務。具體操作,請參見開通密鑰管理服務。
加密算法
可選擇AES256或SM4加密算法。
加密密鑰
僅當加密方式選擇KMS時,需要配置該選項。
選擇加密密鑰。密鑰格式為
<alias>(CMK ID)。其中<alias>為用戶主密鑰的別名,CMK ID為用戶主密鑰ID。取值范圍如下:alias/acs/oss(CMK ID):使用默認托管的CMK生成不同的密鑰來加密不同的Object,并且在Object被下載時自動解密。
alias/<cmkname>(CMK ID):使用指定的CMK生成不同的密鑰來加密不同的Object,并將加密Object的CMK ID記錄到Object的元數據中,具有解密權限的用戶下載Object時會自動解密。其中
<cmkname>為創建密鑰時配置的主密鑰可選標識。使用指定的CMK ID前,您需要在KMS管理控制臺創建一個與Bucket處于相同地域的普通密鑰或外部密鑰。具體操作,請參見創建密鑰。
其他參數配置詳情,請參見創建存儲空間。
單擊確定。
為已創建的Bucket開啟服務器端加密
登錄OSS管理控制臺。
單擊Bucket 列表,然后單擊目標Bucket名稱。
在左側導航欄,選擇。
在服務器端加密頁面,單擊設置,按以下說明配置各項參數。
參數
說明
服務端加密方式
選擇Object的加密方式。取值范圍如下:
無:不啟用服務器端加密。
OSS完全托管:使用OSS托管的密鑰進行加密。OSS會為每個Object使用不同的密鑰進行加密,作為額外的保護,OSS會使用主密鑰對加密密鑰本身進行加密。
KMS:使用KMS默認托管的CMK或指定CMK ID進行加解密操作。
使用KMS加密方式前,需要開通KMS服務。具體操作,請參見開通密鑰管理服務。
加密算法
可選擇AES256或SM4加密算法。
加密密鑰
僅當加密方式選擇KMS時,需要配置該選項。
選擇加密密鑰。密鑰格式為
<alias>(CMK ID)。其中<alias>為用戶主密鑰的別名,CMK ID為用戶主密鑰ID。取值范圍如下:alias/acs/oss(CMK ID):使用默認托管的CMK生成不同的密鑰來加密不同的Object,并且在Object被下載時自動解密。
alias/<cmkname>(CMK ID):使用指定的CMK生成不同的密鑰來加密不同的Object,并將加密Object的CMK ID記錄到Object的元數據中,具有解密權限的用戶下載Object時會自動解密。其中
<cmkname>為創建密鑰時配置的主密鑰可選標識。使用指定的CMK ID前,您需要在KMS管理控制臺創建一個與Bucket處于相同地域的普通密鑰或外部密鑰。具體操作,請參見創建密鑰。
單擊保存。
方式二:上傳文件時設置服務器端加密
具體操作,請參見簡單上傳。
使用阿里云SDK
方式一:為Bucket開啟服務器端加密
SDK支持為已創建的Bucket開啟服務器端加密,不支持在創建Bucket時開啟服務器端加密。以下僅列舉常見SDK為已創建的Bucket開啟服務器端加密的代碼示例。關于其他SDK為已創建的Bucket開啟服務器端加密的代碼示例,請參見SDK簡介。
import com.aliyun.oss.*;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.model.*;
public class Demo {
public static void main(String[] args) throws Throwable {
// Endpoint以華東1(杭州)為例,其它Region請按實際情況填寫。
String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
// 填寫Bucket名稱,例如examplebucket。
String bucketName = "examplebucket";
// 填寫Bucket所在地域。以華東1(杭州)為例,Region填寫為cn-hangzhou。
String region = "cn-hangzhou";
// 創建OSSClient實例。
ClientBuilderConfiguration clientBuilderConfiguration = new ClientBuilderConfiguration();
clientBuilderConfiguration.setSignatureVersion(SignVersion.V4);
OSS ossClient = OSSClientBuilder.create()
.endpoint(endpoint)
.credentialsProvider(credentialsProvider)
.clientConfiguration(clientBuilderConfiguration)
.region(region)
.build();
try {
// 以設置Bucket加密方式為SM4為例。如果是AES256加密,請替換為SSEAlgorithm.AES256。
ServerSideEncryptionByDefault applyServerSideEncryptionByDefault = new ServerSideEncryptionByDefault(SSEAlgorithm.SM4);
ServerSideEncryptionConfiguration sseConfig = new ServerSideEncryptionConfiguration();
sseConfig.setApplyServerSideEncryptionByDefault(applyServerSideEncryptionByDefault);
SetBucketEncryptionRequest request = new SetBucketEncryptionRequest(bucketName, sseConfig);
ossClient.setBucketEncryption(request);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}<?php
if (is_file(__DIR__ . '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\Core\OssException;
use OSS\Model\ServerSideEncryptionConfig;
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
$provider = new EnvironmentVariableCredentialsProvider();
// Endpoint以杭州為例,其它Region請按實際情況填寫。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";
$config = array(
"provider" => $provider,
"endpoint" => $endpoint,
"signatureVersion" => OssClient::OSS_SIGNATURE_VERSION_V4,
"region"=> "cn-hangzhou"
);
$ossClient = new OssClient($config);
try {
// 將Bucket默認的服務器端加密方式設置為OSS完全托管加密(SSE-OSS)。
$config = new ServerSideEncryptionConfig("AES256");
$ossClient->putBucketEncryption($bucket, $config);
// 將Bucket默認的服務器端加密方式設置為KMS,且不指定CMK ID。
$config = new ServerSideEncryptionConfig("KMS");
$ossClient->putBucketEncryption($bucket, $config);
// 將Bucket默認的服務器端加密方式設置為KMS,且指定了CMK ID。
$config = new ServerSideEncryptionConfig("KMS", "your kms id");
$ossClient->putBucketEncryption($bucket, $config);
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage() . "\n");
return;
}
print(__FUNCTION__ . ": OK" . "\n"); const OSS = require("ali-oss");
const client = new OSS({
// yourregion填寫Bucket所在地域。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: 'yourregion',
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
authorizationV4: true,
// yourbucketname填寫存儲空間名稱。
bucket: 'yourbucketname'
});
async function putBucketEncryption() {
try {
// 配置Bucket加密方式。
const result = await client.putBucketEncryption("bucket-name", {
SSEAlgorithm: "AES256", // 此處以設置AES256加密為例。若使用KMS加密,需添加KMSMasterKeyID屬性。
// KMSMasterKeyID:“yourKMSMasterKeyId”,設置KMS密鑰ID,加密方式為KMS可設置此項。當SSEAlgorithm值為KMS,且使用指定的密鑰加密時,需輸入密鑰ID。其他情況下,必須為空。
});
console.log(result);
} catch (e) {
console.log(e);
}
}
putBucketEncryption();# -*- coding: utf-8 -*-
import oss2
from oss2.credentials import EnvironmentVariableCredentialsProvider
from oss2.models import ServerSideEncryptionRule
# 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
auth = oss2.ProviderAuthV4(EnvironmentVariableCredentialsProvider())
# 填寫Bucket所在地域對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。
endpoint = "https://oss-cn-hangzhou.aliyuncs.com"
# 填寫Endpoint對應的Region信息,例如cn-hangzhou。注意,v4簽名下,必須填寫該參數
region = "cn-hangzhou"
# examplebucket填寫存儲空間名稱。
bucket = oss2.Bucket(auth, endpoint, "examplebucket", region=region)
# 創建Bucket加密配置,以AES256加密為例。
rule = ServerSideEncryptionRule()
rule.sse_algorithm = oss2.SERVER_SIDE_ENCRYPTION_AES256
# 設置KMS密鑰ID,加密方式為KMS可設置此項。如需使用指定的密鑰加密,需輸入指定的CMK ID;若使用OSS托管的CMK進行加密,此項為空。使用AES256進行加密時,此項必須為空。
rule.kms_master_keyid = ""
# 設置Bucket加密。
result = bucket.put_bucket_encryption(rule)
# 查看HTTP返回碼。
print('http response code:', result.status)using Aliyun.OSS;
using Aliyun.OSS.Common;
// yourEndpoint填寫Bucket所在地域對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。
var endpoint = "yourEndpoint";
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
var accessKeyId = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_ID");
var accessKeySecret = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_SECRET");
// 填寫Bucket名稱,例如examplebucket。
var bucketName = "examplebucket";
// 創建OSSClient實例。
var client = new OssClient(endpoint, accessKeyId, accessKeySecret);
try
{
// 配置Bucket加密。
var request = new SetBucketEncryptionRequest(bucketName, "KMS", null);
client.SetBucketEncryption(request);
Console.WriteLine("Set bucket:{0} Encryption succeeded ", bucketName);
}
catch (OssException ex)
{
Console.WriteLine("Failed with error code: {0}; Error info: {1}. \nRequestID:{2}\tHostID:{3}",
ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
}
catch (Exception ex)
{
Console.WriteLine("Failed with error info: {0}", ex.Message);
}package main
import (
"log"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
log.Fatalf("Error creating credentials provider: %v", err)
}
// 創建OSSClient實例。
// yourEndpoint填寫Bucket對應的Endpoint,以華東1(杭州)為例,填寫為https://oss-cn-hangzhou.aliyuncs.com。其它Region請按實際情況填寫。
// yourRegion填寫Bucket所在地域,以華東1(杭州)為例,填寫為cn-hangzhou。其它Region請按實際情況填寫。
clientOptions := []oss.ClientOption{oss.SetCredentialsProvider(&provider)}
clientOptions = append(clientOptions, oss.Region("yourRegion"))
// 設置簽名版本
clientOptions = append(clientOptions, oss.AuthVersion(oss.AuthV4))
client, err := oss.New("yourEndpoint", "", "", clientOptions...)
if err != nil {
log.Fatalf("Error creating OSS client: %v", err)
}
// 初始化一個加密規則,加密方式以AES256為例。
config := oss.ServerEncryptionRule{
SSEDefault: oss.SSEDefaultRule{
SSEAlgorithm: "AES256",
},
}
// 設置Bucket的加密規則。
err = client.SetBucketEncryption("yourBucketName", config)
if err != nil {
log.Fatalf("Error setting bucket encryption: %v", err)
}
log.Println("Bucket encryption set successfully")
}
#include <alibabacloud/oss/OssClient.h>
using namespace AlibabaCloud::OSS;
int main(void)
{
/* 初始化OSS賬號信息。*/
/* yourEndpoint填寫Bucket所在地域對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。*/
std::string Endpoint = "yourEndpoint";
/* yourRegion填寫Bucket所在地域對應的Region。以華東1(杭州)為例,Region填寫為cn-hangzhou。*/
std::string Region = "yourRegion";
/* 填寫Bucket名稱,例如examplebucket。*/
std::string BucketName = "examplebucket";
/* 初始化網絡等資源。*/
InitializeSdk();
ClientConfiguration conf;
conf.signatureVersion = SignatureVersionType::V4;
/* 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。*/
auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
OssClient client(Endpoint, credentialsProvider, conf);
client.SetRegion(Region);
SetBucketEncryptionRequest setrequest(BucketName);
setrequest.setSSEAlgorithm(SSEAlgorithm::KMS);
/* 設置KMS服務端加密。*/
auto outcome = client.SetBucketEncryption(setrequest);
if (!outcome.isSuccess()) {
/* 異常處理。*/
std::cout << "SetBucketEncryption fail" <<
",code:" << outcome.error().Code() <<
",message:" << outcome.error().Message() <<
",requestId:" << outcome.error().RequestId() << std::endl;
return -1;
}
/* 釋放網絡等資源。*/
ShutdownSdk();
return 0;
}方式二:上傳文件時設置服務器端加密
以下僅列舉常見SDK上傳文件時設置服務器端加密的代碼示例。關于其他SDK上傳文件時設置服務器端加密的代碼示例,請參見SDK簡介。
Java
import com.aliyun.oss.ClientException;
import com.aliyun.oss.OSS;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.OSSClientBuilder;
import com.aliyun.oss.OSSException;
import com.aliyun.oss.internal.OSSHeaders;
import com.aliyun.oss.model.PutObjectRequest;
import com.aliyun.oss.model.PutObjectResult;
import com.aliyun.oss.model.ObjectMetadata;
import java.io.File;
public class Put {
public static void main(String[] args) throws Exception {
// Endpoint以華東1(杭州)為例,其它Region請按實際情況填寫。
String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
// 填寫Bucket名稱,例如examplebucket。
String bucketName = "examplebucket";
// 填寫Object完整路徑,完整路徑中不能包含Bucket名稱,例如exampledir/exampleobject.txt。
String objectName = "exampledir/exampleobject.txt";
// 填寫本地文件的完整路徑,例如D:\\localpath\\examplefile.txt。
// 如果未指定本地路徑,則默認從示例程序所屬項目對應本地路徑中上傳文件。
String filePath= "D:\\localpath\\examplefile.txt";
// 創建OSSClient實例。
OSS ossClient = new OSSClientBuilder().build(endpoint, credentialsProvider);
try {
// 創建ObjectMetadata對象,并設置服務器端加密方式為AES256。
ObjectMetadata metadata = new ObjectMetadata();
metadata.setHeader(OSSHeaders.OSS_SERVER_SIDE_ENCRYPTION, "AES256");
// 創建PutObjectRequest對象。
PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, objectName, new File(filePath));
putObjectRequest.setMetadata(metadata);
// 上傳文件。
PutObjectResult result = ossClient.putObject(putObjectRequest);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}PHP
<?php
if (is_file(__DIR__ . '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\Core\OssException;
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
$provider = new EnvironmentVariableCredentialsProvider();
// yourEndpoint填寫Bucket所在地域對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 填寫Bucket名稱,例如examplebucket。
$bucket= "examplebucket";
// 填寫Object完整路徑,例如exampledir/exampleobject.txt。Object完整路徑中不能包含Bucket名稱。
$object = "exampledir/exampleobject.txt";
// 填寫本地文件的完整路徑,例如D:\\localpath\\examplefile.txt。如果未指定本地路徑,則默認從示例程序所屬項目對應本地路徑中上傳文件。
$filePath = "D:\\localpath\\examplefile.txt";
try{
$config = array(
"provider" => $provider,
"endpoint" => $endpoint,
);
$ossClient = new OssClient($config);
$options[OssClient::OSS_HEADERS] = array(
// 設置服務器端加密方式為AES256。
"x-oss-server-side-encryption"=>"AES256",
);
// 調用uploadFile方法上傳文件,并傳入UploadOptions對象。
$ossClient->uploadFile($bucket, $object, $filePath, $options);
} catch(OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage() . "\n");
return;
}
print(__FUNCTION__ . "OK" . "\n");Node.js
const OSS = require("ali-oss");
const path = require("path");
const client = new OSS({
// yourregion填寫Bucket所在地域。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: "oss-cn-hangzhou",
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
// 填寫Bucket名稱。
bucket: "examplebucket",
});
const headers = {
// 設置服務器端加密方式為AES256。
"x-oss-server-side-encryption": "AES256",
};
async function put() {
try {。
const result = await client.put(
// 填寫Object完整路徑,例如exampledir/exampleobject.txt。Object完整路徑中不能包含Bucket名稱。
"exampledir/exampleobject.txt",
// 填寫本地文件的完整路徑,例如D:\\localpath\\examplefile.txt。如果未指定本地路徑,則默認從示例程序所屬項目對應本地路徑中上傳文件。
path.normalize("D:\\examplefile.jpg"),
{ headers }
);
console.log(result);
} catch (e) {
console.log(e);
}
}
put();
Python
# -*- coding: utf-8 -*-
import oss2
import os
from oss2.credentials import EnvironmentVariableCredentialsProvider
# 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# yourEndpoint填寫Bucket所在地域對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。
endpoint = 'https://oss-cn-hangzhou.aliyuncs.com'
# 填寫Bucket名稱。
bucket_name = 'examplebucket0703'
bucket = oss2.Bucket(auth, endpoint, bucket_name)
# 必須以二進制的方式打開文件。
# 填寫本地文件的完整路徑。如果未指定本地路徑,則默認從示例程序所屬項目對應本地路徑中上傳文件。
local_file_path = 'D:\\examplefile.jpg'
with open(local_file_path, 'rb') as fileobj:
# Seek方法用于指定從第1000個字節位置開始讀寫。上傳時會從您指定的第1000個字節位置開始上傳,直到文件結束。
fileobj.seek(1000, os.SEEK_SET)
# Tell方法用于返回當前位置。
current = fileobj.tell()
# 設置服務器端加密方式為AES256。
headers = {
'x-oss-server-side-encryption': 'AES256',
}
# 填寫Object完整路徑。Object完整路徑中不能包含Bucket名稱。
object_key = 'exampledir/object1.jpg'
bucket.put_object(object_key, fileobj, headers=headers)
Go
package main
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
"os"
)
func main() {
// 從環境變量中獲取訪問憑證。運行本代碼示例之前,請確保已設置環境變量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 創建OSSClient實例。
// yourEndpoint填寫Bucket對應的Endpoint,以華東1(杭州)為例,填寫為https://oss-cn-hangzhou.aliyuncs.com。其它Region請按實際情況填寫。
client, err := oss.New("https://oss-cn-hangzhou.aliyuncs.com", "", "", oss.SetCredentialsProvider(&provider))
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 填寫存儲空間名稱,例如examplebucket。
bucket, err := client.Bucket("examplebucket")
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 填寫Object完整路徑,例如exampledir/exampleobject.txt。Object完整路徑中不能包含Bucket名稱。
// 填寫本地文件的完整路徑,例如D:\\localpath\\examplefile.txt。如果未指定本地路徑,則默認從示例程序所屬項目對應本地路徑中上傳文件。
// 設置服務器端加密方式為AES256。
err = bucket.PutObjectFromFile("D:\\localpath\\examplefile.txt", "D:\\examplefile.jpg", oss.ServerSideEncryption("AES256"))
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
}使用命令行工具ossutil
方式一:為Bucket開啟服務器端加密
ossutil支持為已創建的Bucket開啟服務器端加密,不支持在創建Bucket時開啟服務器端加密。
為已創建的Bucket開啟服務器端加密的具體操作,請參見bucket-encryption(服務器端加密)。
方式二:上傳文件時設置服務器端加密
ossutil支持在上傳文件時指定文件的服務器端加密方式。具體操作,請參見上傳并指定加密方式。
使用REST API
如果您的程序自定義要求較高,您可以直接發起REST API請求。直接發起REST API請求需要手動編寫代碼計算簽名。
REST API支持為已創建的Bucket開啟服務器端加密,不支持在創建Bucket時開啟服務器端加密。
為已創建的Bucket開啟服務器端加密的更多信息,請參見PutBucketEncryption。
REST API支持在上傳文件時指定文件的服務器端加密方式。更多信息,請參見PutObject。
使用KMS托管密鑰進行加解密
使用KMS托管的用戶主密鑰CMK生成加密密鑰加密數據,通過信封加密機制,可進一步防止未經授權的數據訪問。借助KMS,您可以專注于數據加解密、電子簽名驗簽等業務功能,無需花費大量成本來保障密鑰的保密性、完整性和可用性。
SSE-KMS加密方式的邏輯示意圖如下。
使用SSE-KMS加密方式時,可使用如下密鑰:
使用OSS默認托管的KMS密鑰
OSS使用默認托管的KMS CMK生成不同的密鑰來加密不同的Object,并且在Object被下載時自動解密。首次使用時,OSS會在KMS平臺創建一個OSS托管的CMK。
配置方式如下:
配置Bucket加密方式
配置Bucket加密方式為KMS,指定加密算法為AES256或SM4,但不指定具體的CMK ID。此后,所有上傳至此Bucket的Object都會被加密。
為目標Object配置加密方式
上傳Object或修改Object的meta信息時,在請求中攜帶
x-oss-server-side-encryption參數,并設置參數值為KMS。此時,OSS將使用默認托管的KMS CMK,并通過AES256加密算法加密Object。如需修改加密算法為SM4,您還需增加x-oss-server-side-data-encryption參數,并設置參數值為SM4。更多信息,請參見PutObject。
使用自帶密鑰BYOK(Bring Your Own Key)
您在KMS控制臺使用BYOK材料生成CMK后,OSS可使用指定的KMS CMK生成不同的密鑰來加密不同的Object,并將加密Object的CMK ID記錄到Object的元數據中,只有具有解密權限的用戶下載Object時才會自動解密。
BYOK材料來源有兩種:
由阿里云提供的BYOK材料:在KMS平臺創建密鑰時,選擇密鑰材料來源為阿里云KMS。
使用用戶自有的BYOK材料:在KMS平臺創建密鑰時,選擇密鑰材料來源為外部,并按照要求導入外部密鑰材料。關于導入外部密鑰的具體操作,請參見導入密鑰材料。
配置方式如下:
配置Bucket加密方式
配置Bucket加密方式為KMS,指定加密算法為AES256或SM4,并指定具體的CMK ID。此后,所有上傳至此Bucket的Object都會被加密。
為目標Object配置加密方式
上傳Object或修改Object的meta信息時,在請求中攜帶
x-oss-server-side-encryption參數,并設置參數值為KMS;攜帶x-oss-server-side-encryption-key-id參數,并設置參數值為指定CMK ID。此時,OSS將使用指定的KMS CMK,并通過AES256加密算法加密Object。如需修改加密算法,您還需增加x-oss-server-side-data-encryption參數,并設置參數值為SM4。更多信息,請參見PutObject。
使用OSS完全托管密鑰進行加解密
OSS負責生成和管理數據加密密鑰,并采用高強度、多因素的安全措施進行保護。數據加密的算法采用行業標準的AES256(即256位高級加密標準)和國密SM4算法。
配置方式如下:
配置Bucket加密方式
配置Bucket加密方式為OSS完全托管,并指定加密算法為AES256或SM4。此后,所有上傳至此Bucket的Object都會默認被加密。
為目標Object配置加密方式
上傳Object或修改Object的meta信息時,在請求中攜帶
x-oss-server-side-encryption參數,并設置參數值為AES256或SM4。此時,OSS將使用OSS完全托管的密鑰加密Object。更多信息,請參見PutObject。
權限說明
RAM用戶在不同場景中使用服務端加解密的權限說明如下:
關于為RAM用戶授權的具體操作,請參見為RAM用戶授權自定義的權限策略。
設置Bucket加密方式
具有對目標Bucket的管理權限。
具有
PutBucketEncryption和GetBucketEncryption權限。如果設置加密方式為SSE-KMS,且指定了CMK ID,還需要
ListKeys、Listalias、ListAliasesByKeyId以及DescribeKey權限。此場景下的RAM Policy授權策略如下:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:DescribeKey" ], "Resource": [ "acs:kms:*:141661496593****:*" //表示允許調用該阿里云賬號ID下所有的KMS密鑰,如果僅允許使用某個CMK,此處可輸入對應的CMK ID。 ] } ] }
上傳文件至設置了加密方式的Bucket
具有目標Bucket的上傳文件權限。
如果設置加密方式為KMS,并指定了CMK ID,還需要
ListKeys、ListAliases、ListAliasesByKeyId、DescribeKey、GenerateDataKey以及Decrypt權限。此場景下的RAM Policy授權策略如下:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "acs:kms:*:141661496593****:*"http://表示允許調用該阿里云賬號ID下所有的KMS密鑰,如果僅允許使用某個CMK,此處可輸入對應的CMK ID。 ] } ] }
從設置了加密方式的Bucket中下載文件
具有目標Bucket的文件訪問權限。
如果設置加密方式為KMS,并指定了CMK ID,還需要
Decrypt權限。此場景下的RAM Policy授權策略如下:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "acs:kms:*:141661496593****:*"http://表示具有該阿里云賬號ID下所有KMS的解密權限。若要針對某個KMS密鑰進行解密,此處可輸入對應的CMK ID。 ] } ] }
常見問題
配置Bucket加密方式后,OSS會對歷史文件進行加密嗎?
OSS只對服務器端加密配置生效后上傳的Object進行加密,不會加密歷史文件。如果您需要加密歷史文件,可通過CopyObject覆寫歷史文件。