更新日志库的加密配置。可以为日志库创建加密配置、开启或关闭日志加密功能。
接口说明
使用限制
配置数据加密时,您第一次选定加密机制后,后续您无法修改数据加密机制。也不支持修改加密算法和加密类型,您只能通过 enable 参数开启或者关闭加密功能。 例如,您第一次选择的是通过日志服务自带的服务密钥加密机制,后续您无法修改为通过用户自带密钥(BYOK)加密方式。
创建加密配置
通过日志服务自带的服务密钥加密
无需额外操作,加密和密钥管理完全由日志服务负责。 创建加密配置时需要传入 enable 与 encryptType 参数。
通过用户自带密钥(BYOK)加密
需要先创建 KMS 主密钥,日志服务通过用户提供的密钥加密日志。 创建加密配置时,需要传入 enable 、encryptType、userCmkInfo 参数。
开启或者关闭日志加密
在您首次创建加密配置成功后,后续不再支持修改加密机制。但是可以通过 enable 参数来开启或者关闭日志加密。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
请求语法
PUT /logstores/{logstore}/encryption HTTP/1.1
请求参数
| 名称 | 类型 | 必填 | 描述 | 示例值 |
|---|---|---|---|---|
| project | string | 是 | 日志项目。 | test-project |
| logstore | string | 是 | 日志库。 | test-logstore |
| body | object | 否 | 请求结构体 | |
| enable | boolean | 是 | 是否开启日志加密。 加密配置更新成功后,后续的加密配置更新请求只允许修改是否开启日志加密,不允许修改 encryptType、userCmkInfo 参数。 | true |
| encryptType | string | 否 | 加密算法类型,支持 default、m4、sm4_ecb、sm4_cbc、sm4_gcm、aes_ecb、aes_cbc、aes_cfb、aes_ofb、aes_gcm。 | default |
| userCmkInfo | object | 否 | 可选,当通过用户自带密钥(BYOK)加密时,请填写此选项。当通过日志服务自带的服务密钥加密时,无需填写此选项。 | |
| keyId | string | 否 | BYOK 的主密钥 ID,可通过阿里云密钥管理服务创建一个主密钥,主密钥地域需要与日志服务访问接入点相同。 | f5136b95-2420-ab31-xxxxxxxxx |
| roleArn | string | 否 | RAM 角色的 ARN,格式为 acs:ram::12344***:role/xxxxx。使用 BYOK 加密需要先创建一个 RAM 角色,并授予给该角色 AliyunKMSReadOnlyAccess、AliyunKMSCryptoUserAccess 权限。同时授予此 API 访问者该 RAM 角色的 PassRole 权限。 | acs:ram::12344***:role/xxxxx |
| regionId | string | 否 | 地域,例如 cn-hangzhou。 | cn-hangzhou |
返回参数
示例
正常返回示例
JSON格式
{}错误码
| HTTP status code | 错误码 | 错误信息 | 描述 |
|---|---|---|---|
| 404 | ProjectNotExist | The Project does not exist: xxxx. | 日志项目不存在. |
| 404 | LogStoreNotExist | logstore xxxx does not exist. | 日志库不存在。 |
访问错误中心查看更多错误码。