すべてのプロダクト
Search

このプロダクト

    Object Storage Service:バケット暗号化

    ドキュメントセンター

    Object Storage Service:バケット暗号化

    最終更新日:May 06, 2024

    サーバー側暗号化を設定すると、Object Storage Service (OSS) はアップロードされたオブジェクトを暗号化し、暗号化されたオブジェクトを永続的に保存します。 オブジェクトをダウンロードすると、OSSはオブジェクトを復号し、復号されたオブジェクトを返します。 このトピックでは、bucket-encryptionコマンドを実行してサーバー側の暗号化設定をバケットに追加し、バケットのサーバー側の暗号化設定を変更、照会、または削除する方法について説明します。

    使用上の注意

    • サーバー側暗号化設定をバケットに追加したり、バケットのサーバー側暗号化設定を変更したりするには、oss:PutBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

    バケットへのサーバー側暗号化設定の追加、またはバケットのサーバー側暗号化設定の変更

    • コマンド構文

      . /ossutil64 bucket-encryption -- メソッドput oss:// bucketName -- sse-algorithm algorithm
[-- kms-masterkey-id keyid]

      次の表に、上記のコマンドのパラメーターを示します。

      パラメーター

      説明

      bucketName

      サーバー側の暗号化を設定するバケット。

      -- sseアルゴリズム

      バケットの暗号化方法。

      有効な値:

      • KMS: Key Management Service (KMS) によって管理されるキーは、暗号化と復号化 (SSE-KMS) に使用されます。

      • AES256: OSSが管理するキーは、暗号化と復号化 (SSE-OSS) に使用されます。

      -- kms-masterkey-id

      暗号化方法がSSE-KMSに設定されている場合に、オブジェクトの暗号化に使用されるKMS管理の顧客マスターキー (CMK) のID。 このパラメーターを指定しない場合、デフォルトのCMKがオブジェクトの暗号化に使用されます。 特定のCMKを使用する場合は、パラメーターを使用してCMK IDを設定します。

      • 次のコマンドを実行して、デフォルトの暗号化方法をSSE-OSSに設定し、examplebucketにAES-256する暗号化アルゴリズムを設定します。 

        ./ossutil64 bucket-encryption -- method put oss:// examplebucket -- sse-algorithm AES256

      • 次のコマンドを実行して、デフォルトの暗号化方法をSSE-KMSに設定し、CMK IDを指定し、examplebucketの暗号化アルゴリズムをAES-256に設定します。 

        ./ossutil64 bucket-encryption -- method put oss:// examplebucket -- sse-algorithm KMS -- kms-masterkey-id 9468da86-3509-4f8d-a61e-6eab1eac ****

      • 次の出力が表示される場合、examplebucketにサーバー側の暗号化が設定されます。 

        0.856895経過

    バケットのサーバー側暗号化設定の照会

    • コマンド構文

      ./ossutil64 bucket-encryption -- メソッドget oss:// bucketname

    • 次のコマンドを実行して、examplebucketのサーバー側の暗号化設定を照会します。 

      ./ossutil64 bucket-encryption -- メソッドget oss:// examplebucket

      次の出力が表示された場合、examplebucketに設定されたサーバー側の暗号化方法はSSE-KMSで、CMK IDは指定されておらず、暗号化アルゴリズムはAES-256です。 

      SSEAlgorithm:KMS
KMSMasterKeyID:
KMSDataEncryption:

    バケットのサーバー側暗号化設定の削除

    • コマンド構文

      ./ossutil64 bucket-encryption -- メソッドdelete oss:// bucketname

    • 次のコマンドを実行して、examplebucketのサーバー側の暗号化設定を削除します。 

      ./ossutil64 bucket-encryption -- メソッドdelete oss:// examplebucket

      次の出力が表示された場合、examplebucketのサーバー側の暗号化設定は削除されます。 

      0.856686経過

    一般的なオプション

    ossutilを使用して別のリージョンにあるバケットに切り替える場合は、コマンドに -eオプションを追加して、指定したバケットがあるリージョンのエンドポイントを指定します。 ossutilを使用して別のAlibaba Cloudアカウントに属するバケットに切り替える場合、コマンドに -iオプションを追加して、指定されたアカウントのAccessKey IDを指定し、コマンドに -kオプションを追加して、指定されたアカウントのAccessKey secretを指定します。

    たとえば、次のコマンドを実行して、中国 (杭州) リージョンにあり、別のAlibaba Cloudアカウントが所有するexamplebucketという名前のバケットの暗号化方法をAES-256に設定できます。

    ./ossutil64 bucket-encryption -- メソッドput oss:// examplebucket -- sse-algorithm AES256 -e oss-cn-hangzhou.aliyuncs.com -i LTAI4Fw2NbDUCV8zYUzA **** -k 67DLVBkH7EamOjy2W5RVAHUY9H ****

    共通オプションの詳細については、「共通オプション」をご参照ください。