阿里云对象存储OSS支持在服务器端对上传到存储空间(Bucket)的数据进行加密(Server-Side Encryption),对持久化在OSS上的数据进行加密保护。

背景信息

上传数据时,OSS对收到的用户数据进行加密,然后再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的HTTP请求Header中,声明该数据进行了服务器端加密。
说明 服务器端加密功能详情请参见服务器端加密
您可以通过以下两种方式在OSS控制台上开启服务器端加密功能:

操作视频

观看以下视频,快速了解如何配置服务器端加密。

方式一:创建Bucket时开启服务器端加密功能

  1. 登录OSS管理控制台
  2. 概览页右侧单击创建Bucket
  3. 创建Bucket页面填写各项参数。
    其中,服务器端加密区域选择您希望使用的加密方式,其他参数请参见创建存储空间
    • 服务端加密方式:选择Object的加密方式。
      • :不启用服务器端加密。
      • OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
      • KMS:可以使用指定的CMK ID或者KMS默认托管的CMK进行加解密操作。KMS加密详细的介绍请参考使用KMS托管密钥进行加解密
        注意
        • 使用KMS加密方式前,需要开通KMS服务,详情请参见开通KMS服务
        • 使用KMS密钥功能时会产生少量的KMS密钥API调用费用,费用详情请参见KMS计费标准
    • 加密算法:目前仅支持AES256。
    • 加密密钥服务端加密方式选择KMS时,可配置此项。参数说明如下:
      • alias/acs/oss:使用默认托管的CMK生成不同的密钥来加密不同的Object,并且在Object被下载时自动解密。
      • CMK ID:使用指定的CMK生成不同的密钥来加密不同的Object,并将加密Object的CMK ID记录到Object的元数据中,因此具有解密权限的用户下载Object时会自动解密。选择指定的CMK ID前,需在KMS管理控制台创建一个与Bucket相同地域的普通密钥或外部密钥
  4. 单击确定

方式二:在基础设置页签开启服务器端加密功能

  1. 登录OSS管理控制台
  2. 单击Bucket列表,之后单击目标Bucket名称。
  3. 单击基础设置 > 服务器端加密
  4. 单击设置
    参数说明:
    • 服务端加密方式:选择Object的加密方式。
      • :不启用服务器端加密。
      • OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
      • KMS:可以使用指定的CMK ID或者KMS默认托管的CMK进行加解密操作。KMS加密详细的介绍请参考使用KMS托管密钥进行加解密
        注意
        • 使用KMS加密方式前,需要开通KMS服务,详情请参见开通KMS服务
        • 使用KMS密钥功能时会产生少量的KMS密钥API调用费用,费用详情请参见KMS计费标准
    • 加密算法:目前仅支持AES256。
    • 加密密钥服务端加密方式选择KMS时,可配置此项。参数说明如下:
      • alias/acs/oss:使用默认托管的CMK生成不同的密钥来加密不同的Object,并且在Object被下载时自动解密。
      • CMK ID:使用指定的CMK生成不同的密钥来加密不同的Object,并将加密Object的CMK ID记录到Object的元数据中,因此具有解密权限的用户下载Object时会自动解密。选择指定的CMK ID前,需在KMS管理控制台创建一个与Bucket相同地域的普通密钥或外部密钥
  5. 单击保存
    注意 开启或修改Bucket默认加密方式不会对Bucket内已有文件添加或修改加密方式。