OSS ON云盒支持服务器端加密功能。开启服务器端加密后,OSS对在云盒Bucket中上传的Object进行加密,再将得到的加密Object持久化保存。下载Object时,OSS自动将加密Object解密后返回给用户,并在返回的HTTP请求Header中,声明该Object进行了服务器端加密。
加密方式
OSS ON云盒使用OSS完全托管密钥进行加解密(SSE-OSS)。为了提升安全性,OSS还会使用定期轮转的主密钥对加密密钥本身进行加密。OSS负责生成和管理数据加密密钥,并采用高强度、多因素的安全措施进行保护。
配置方式如下:
重要 如果配置了Bucket默认加密方式,仍然可以在上传或拷贝Object时单独对Object配置加密方式,且以Object配置的加密方式为准。
操作步骤
使用OSS控制台
方式一:创建Bucket时开启服务器端加密功能
登录OSS管理控制台。
在左侧导航栏,选择,然后单击左上角的创建Bucket。
在创建Bucket页面填写各项参数。
其中,服务器端加密区域配置参数说明如下:
服务端加密方式:选择Object的加密方式。
- 无:不启用服务器端加密。
- OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
加密算法:仅支持AES256。
其他参数的配置说明,请参见创建云盒Bucket。
方式二:为已创建的Bucket开启服务器端加密
登录OSS管理控制台。
在左侧导航栏,选择,然后在Bucket列表中单击目标Bucket。
在左侧导航栏,选择。
在服务器端加密区域,单击设置,然后按以下说明完成各配置项,最后单击保存。
服务端加密方式:选择Object的加密方式。
- 无:不启用服务器端加密。
- OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。
加密算法:仅支持AES256。
使用阿里云SDK
仅支持通过Java SDK设置服务器端加密,Java SDK要求3.15.0及以上版本。
import com.aliyun.oss.*;
import com.aliyun.oss.model.*;
import com.aliyun.oss.common.auth.DefaultCredentialProvider;
import com.aliyun.oss.common.comm.SignVersion;
import com.aliyun.oss.ClientBuilderConfiguration;
import com.aliyun.oss.common.auth.CredentialsProviderFactory;
import com.aliyun.oss.common.auth.EnvironmentVariableCredentialsProvider;
public class Demo {
public static void main(String[] args) throws Throwable {
// 填写云盒Bucket的数据域名。
String endpoint = "https://cb-f8z7yvzgwfkl9q0h****.cn-hangzhou.oss-cloudbox.aliyuncs.com";
// 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
// 填写云盒Bucket名称,例如examplebucket。
String bucketName = "examplebucket";
// 填写云盒Bucket所在地域。
String region = "cn-hangzhou";
// 填写云盒ID。
String cloudBoxId = "cb-f8z7yvzgwfkl9q0h****";
// 创建OSSClient实例。
ClientBuilderConfiguration conf = new ClientBuilderConfiguration();
conf.setSignatureVersion(SignVersion.V4);
OSS ossClient = OSSClientBuilder.create()
.endpoint(endpoint)
.credentialsProvider(new DefaultCredentialProvider(credentialsProvider.getCredentials()))
.clientConfiguration(conf)
.region(region)
.cloudBoxId(cloudBoxId)
.build();
try {
// 设置服务器端加密。
ServerSideEncryptionByDefault applyServerSideEncryptionByDefault = new ServerSideEncryptionByDefault(SSEAlgorithm.AES256);
ServerSideEncryptionConfiguration sseConfig = new ServerSideEncryptionConfiguration();
sseConfig.setApplyServerSideEncryptionByDefault(applyServerSideEncryptionByDefault);
SetBucketEncryptionRequest request = new SetBucketEncryptionRequest(bucketName, sseConfig);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}
使用命令行工具ossutil
方式二:上传文件并指定加密方式
关于使用ossutil上传文件并指定加密方式的具体操作,请参见上传并指定加密方式。
使用REST API
如果您的程序自定义要求较高,您可以直接发起REST API请求。直接发起REST API请求需要手动编写代码计算签名。
关于在创建云盒Bucket时开启服务器端加密的API接口说明,请参见PutBucketEncryption。
关于在上传文件时指定加密方式的API接口说明,请参见PutObject。