OSS ON云盒支持服务器端加密功能。开启服务器端加密后,OSS对在云盒Bucket中上传的Object进行加密,再将得到的加密Object持久化保存。下载Object时,OSS自动将加密Object解密后返回给用户,并在返回的HTTP请求Header中,声明该Object进行了服务器端加密。
加密方式
OSS ON云盒使用OSS完全托管密钥进行加解密(SSE-OSS)。为了提升安全性,OSS还会使用定期轮转的主密钥对加密密钥本身进行加密。OSS负责生成和管理数据加密密钥,并采用高强度、多因素的安全措施进行保护。
配置方式如下:
- 配置云盒Bucket默认加密方式
配置云盒Bucket默认加密方式为SSE-OSS,并指定加密算法为AES256。此时,所有上传至此云盒Bucket的Object都会默认被加密。
- 为目标Object配置加密方式
上传Object或修改Object的meta信息时,在请求中携带
x-oss-server-side-encryption参数,并设置参数值为AES256。此时,目标Object将使用OSS完全托管的密钥进行加密。更多信息,请参见PutObject。
云盒Bucket
方式一:创建Bucket时开启服务器端加密功能
- 登录OSS管理控制台。
- 在左侧导航栏,单击云盒Bucket,然后单击左上角的创建Bucket。
- 在创建Bucket页面填写各项参数。
其中,服务器端加密区域配置参数说明如下:
- 服务端加密方式:选择Object的加密方式。
- 无:不启用服务器端加密。
- OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
- 加密算法:仅支持AES256。
其他参数的配置说明,请参见创建云盒Bucket。
- 服务端加密方式:选择Object的加密方式。
方式二:为已创建的Bucket开启服务器端加密
- 登录OSS管理控制台。
- 在左侧导航栏,单击云盒Bucket,然后单击目标Bucket名称。
- 在左侧导航栏,选择。
- 在服务器端加密区域,单击设置,然后按以下说明完成各配置项,最后单击保存。
- 服务端加密方式:选择Object的加密方式。
- 无:不启用服务器端加密。
- OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
- 加密算法:仅支持AES256。
- 服务端加密方式:选择Object的加密方式。
使用阿里云SDK
仅支持通过Java SDK设置服务器端加密,Java SDK要求3.15.0及以上版本。
import com.aliyun.oss.*;
import com.aliyun.oss.model.*;
import com.aliyun.oss.common.auth.DefaultCredentialProvider;
import com.aliyun.oss.common.comm.SignVersion;
import com.aliyun.oss.ClientBuilderConfiguration;
public class Demo {
public static void main(String[] args) throws Throwable {
// 填写云盒Bucket的数据域名。
String endpoint = "https://cb-f8z7yvzgwfkl9q0h****.cn-hangzhou.oss-cloudbox.aliyuncs.com";
// 阿里云账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维,请登录RAM控制台创建RAM用户。
String accessKeyId = "yourAccessKeyId";
String accessKeySecret = "yourAccessKeySecret";
// 填写云盒Bucket名称,例如examplebucket。
String bucketName = "examplebucket";
// 填写云盒Bucket所在地域。
String region = "cn-hangzhou";
// 填写云盒ID。
String cloudBoxId = "cb-f8z7yvzgwfkl9q0h****";
// 创建OSSClient实例。
ClientBuilderConfiguration conf = new ClientBuilderConfiguration();
conf.setSignatureVersion(SignVersion.V4);
OSS ossClient = OSSClientBuilder.create()
.endpoint(endpoint)
.credentialsProvider(new DefaultCredentialProvider(accessKeyId, accessKeySecret))
.clientConfiguration(conf)
.region(region)
.cloudBoxId(cloudBoxId)
.build();
try {
// 设置服务器端加密。
ServerSideEncryptionByDefault applyServerSideEncryptionByDefault = new ServerSideEncryptionByDefault(SSEAlgorithm.AES256);
ServerSideEncryptionConfiguration sseConfig = new ServerSideEncryptionConfiguration();
sseConfig.setApplyServerSideEncryptionByDefault(applyServerSideEncryptionByDefault);
SetBucketEncryptionRequest request = new SetBucketEncryptionRequest(bucketName, sseConfig);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}使用命令行工具ossutil
方式一:创建云盒Bucket时开启服务器端加密
关于使用ossutil在创建云盒Bucket时开启服务器端加密的具体操作,请参见bucket-encryption(服务器端加密)。
方式二:上传文件并指定加密方式
关于使用ossutil上传文件并指定加密方式的具体操作,请参见上传并指定加密方式。
使用REST API
如果您的程序自定义要求较高,您可以直接发起REST API请求。直接发起REST API请求需要手动编写代码计算签名。
关于在创建云盒Bucket时开启服务器端加密的API接口说明,请参见PutBucketEncryption。
关于在上传文件时指定加密方式的API接口说明,请参见PutObject。