サーバー側暗号化を設定すると、Object Storage Service (OSS) はアップロードされたオブジェクトを暗号化し、暗号化されたオブジェクトを永続的に保存します。 オブジェクトをダウンロードすると、OSSはオブジェクトを復号し、復号されたオブジェクトを返します。 このトピックでは、bucket-encryptionコマンドを実行してサーバー側の暗号化設定をバケットに追加し、バケットのサーバー側の暗号化設定を変更、照会、または削除する方法について説明します。
使用上の注意
サーバー側暗号化設定をバケットに追加したり、バケットのサーバー側暗号化設定を変更したりするには、
oss:PutBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption
権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。
ossutil 1.6.16以降の場合、コマンドラインでossutilをバイナリ名として直接使用できます。 オペレーティングシステムに基づいてバイナリ名を更新する必要はありません。 1.6.16より前のossutilの場合、オペレーティングシステムに基づいてバイナリ名を更新する必要があります。 詳細は、「ossutilコマンドリファレンス」をご参照ください。
サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。
バケットへのサーバー側暗号化設定の追加、またはバケットのサーバー側暗号化設定の変更
コマンド構文
ossutil bucket-encryption -- method put oss:// bucketName -- sse-algorithm algorithm [-- kms-masterkey-id keyid]
次の表に、上記のパラメーターを示します。
パラメーター
説明
bucketName
バケットの名前です。
-- sseアルゴリズム
バケットの暗号化方法。
有効な値:
KMS: Key Management Service (KMS) によって管理されるキーは、暗号化と復号化 (SSE-KMS) に使用されます。
AES256: OSSが管理するキーは、暗号化と復号化 (SSE-OSS) に使用されます。
-- kms-masterkey-id
暗号化方法がSSE-KMSに設定されている場合に、オブジェクトの暗号化に使用されるKMS管理の顧客マスターキー (CMK) のID。 このパラメーターを指定しない場合、デフォルトのCMKがオブジェクトの暗号化に使用されます。 特定のCMKを使用する場合は、パラメーターを使用してCMK IDを設定します。
説明CloudBoxでOSSを使用する場合、このパラメーターはサポートされていません。
例
次のコマンドを実行して、examplebucketの暗号化方法をSSE-OSSに設定し、暗号化アルゴリズムをAES-256します。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256
次のコマンドを実行して、暗号化方法をSSE-KMSに設定し、CMK IDを指定し、暗号化アルゴリズムをexamplebucketのAES-256に設定します。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm KMS --kms-masterkey-id 9468da86-3509-4f8d-a61e-6eab1eac****
次の出力が表示される場合、examplebucketにサーバー側の暗号化が設定されます。
0.856895(s) elapsed
バケットのサーバー側暗号化設定の照会
コマンド構文
ossutil bucket-encryption --method get oss://bucketname
例
次のコマンドを実行して、examplebucketのサーバー側の暗号化設定を照会します。
ossutil bucket-encryption --method get oss://examplebucket
次の出力が表示された場合、examplebucketに設定されたサーバー側の暗号化方法はSSE-KMSで、CMK IDは指定されておらず、暗号化アルゴリズムはAES-256です。
SSEAlgorithm:KMS KMSMasterKeyID: KMSDataEncryption:
バケットのサーバー側暗号化設定の削除
コマンド構文
ossutil bucket-encryption --method delete oss://bucketname
例
次のコマンドを実行して、examplebucketのサーバー側の暗号化設定を削除します。
ossutil bucket-encryption --method delete oss://examplebucket
次の出力が表示された場合、examplebucketのサーバー側の暗号化設定は削除されます。
0.856686(s) elapsed
一般的なオプション
ossutilを使用して別のリージョンにあるバケットに切り替える場合は、-eオプションを追加して、バケットが配置されているリージョンのエンドポイントを指定します。 ossutilを使用して別のAlibaba Cloudアカウントに属するバケットに切り替える場合、-iオプションを追加して指定されたアカウントのAccessKey IDを指定し、-kオプションを追加して指定されたアカウントのAccessKey secretを指定します。
たとえば、次のコマンドを実行して、中国 (杭州) リージョンにあり、別のAlibaba Cloudアカウントが所有するexamplebucketという名前のバケットの暗号化方法をAES-256に設定できます。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256 -e oss-cn-hangzhou.aliyuncs.com -i LTAI4Fw2NbDUCV8zYUzA**** -k 67DLVBkH7EamOjy2W5RVAHUY9H****
共通オプションの詳細については、「共通オプション」をご参照ください。