サーバー側暗号化 - Object Storage Service - Alibaba Cloud ドキュメントセンター

Object Storage Service (OSS) は、サーバー上のアップロードされたデータを暗号化できます。これはサーバー側暗号化と呼ばれます。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 OSSからデータをダウンロードすると、OSSはデータを復号し、復号されたデータを返します。さらに、データがサーバ上で暗号化されていることを宣言するために、ヘッダが応答に追加される。

背景情報

OSS で提供されているサーバー側の暗号化方法は以下の通りです。

KMS管理CMKを使用したサーバー側暗号化 (SSE-KMS)
オブジェクトをアップロードするときは、指定されたIDのカスタマーマスターキー (CMK) またはKMSが管理するデフォルトのCMKを使用してデータを暗号化できます。この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。
重要
CMKを使用してデータを暗号化または復号化するAPI操作を呼び出すと、課金されます。詳細については、「KMSの課金」をご参照ください。
OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)
オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。

重要

オブジェクトは、一度に1つのサーバー側暗号化方法のみで暗号化できます。
バケットのサーバー側暗号化を設定する場合でも、バケットにアップロードまたはコピーするオブジェクトに対して別の暗号化方法を設定できます。オブジェクトに設定された暗号化方法が優先されます。詳細は、「PutObject」をご参照ください。
サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。

使用上の注意

このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba Cloudサービスを使用してOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSでサポートされているリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。カスタムドメイン名またはSecurity Token Service (STS) を使用してOSSClientインスタンスを作成する場合は、「OSSClientインスタンスの作成」をご参照ください。
バケットのサーバー側暗号化を設定するには、oss:PutBucketEncryption権限が必要です。バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption権限が必要です。バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption権限が必要です。詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

バケットのサーバー側暗号化を設定する

次のサンプルコードは、バケットの既定の暗号化方式を設定する方法の例を示しています。メソッドを設定した後、暗号化方式なしでバケットにアップロードされたすべてのオブジェクトは、デフォルトの暗号化方式を使用して暗号化されます。

#include <alibabacloud/oss/OssClient.h>
名前空間listaCloud::OSSを使用します。int main(void)
{
    /* OSSへのアクセスに使用されるアカウントに関する情報を初期化します。 */
            
    /* バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 */
    std::stringエンドポイント="https://oss-cn-hangzhou.aliyuncs.com";
    /* バケットの名前を指定します。 例: examplebucket. */
    std::string BucketName = "examplebucket";

    /* ネットワークリソースなどのリソースを初期化します。 */
    InitializeSdk();

    ClientConfiguration conf;
    /* 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 */
    auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
    OssClientクライアント (Endpoint, credentialsProvider, conf);

    SetBucketEncryptionRequest setrequest(BucketName);
    setrequest.setSSEAlgorithm(SSEAlgorithm::KMS);
    /* KMSに基づいてサーバー側暗号化を設定します。 */
    auto outcome = client.SetBucketEncryption(setrequest);

    if (!outcome.isSuccess()) {
        /* 例外を処理します。 */
        std::cout << "SetBucketEncryption fail" <<
        ",code:" << outcome.error().Code() <<
        ",message:" << outcome.error().Message() <<
        ",requestId:" << outcome.error().RequestId() << std::endl;
        return -1;
    }

    /* ネットワークリソースなどのリソースをリリースします。 */
    ShutdownSdk();
    0を返します。}

バケットのサーバー側暗号化設定の照会

次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。

#include <alibabacloud/oss/OssClient.h>
名前空間listaCloud::OSSを使用します。int main(void)
{
    /* OSSへのアクセスに使用されるアカウントに関する情報を初期化します。 */
            
    /* バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 */
    std::stringエンドポイント="https://oss-cn-hangzhou.aliyuncs.com";
    /* バケットの名前を指定します。 例: examplebucket. */
    std::string BucketName = "examplebucket";

    /* ネットワークリソースなどのリソースを初期化します。 */
    InitializeSdk();

    ClientConfiguration conf;
    /* 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 */
    auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
    OssClientクライアント (Endpoint, credentialsProvider, conf);

    /* バケットのサーバー側暗号化設定を照会します。 */   
    GetBucketEncryptionRequestリクエスト (BucketName);   
    auto outcome = client.GetBucketEncryption (リクエスト);

    if (!outcome.isSuccess()) {
        /* 例外を処理します。 */
        std::cout << "GetBucketEncryption fail" <<
        ",code:" << outcome.error().Code() <<
        ",message:" << outcome.error().Message() <<
        ",requestId:" << outcome.error().RequestId() << std::endl;
        return -1;
    }

    /* ネットワークリソースなどのリソースをリリースします。 */
    ShutdownSdk();
    0を返します。}

バケットのサーバー側暗号化設定の削除

次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。

#include <alibabacloud/oss/OssClient.h>
名前空間listaCloud::OSSを使用します。int main(void)
{
    /* OSSへのアクセスに使用されるアカウントに関する情報を初期化します。 */
            
    /* バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 */
    std::stringエンドポイント="https://oss-cn-hangzhou.aliyuncs.com";
    /* バケットの名前を指定します。 例: examplebucket. */
    std::string BucketName = "examplebucket";

    /* ネットワークリソースなどのリソースを初期化します。 */
    InitializeSdk();

    ClientConfiguration conf;
    /* 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 */
    auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
    OssClientクライアント (Endpoint, credentialsProvider, conf);

    /* バケットのサーバー側暗号化設定を削除します。 */   
    DeleteBucketEncryptionRequestリクエスト (BucketName);   
    auto outcome = client.DeleteBucketEncryption (リクエスト);

    if (!outcome.isSuccess()) {
        /* 例外を処理します。 */
        std::cout << "DeleteBucketEncryption fail" <<
        ",code:" << outcome.error().Code() <<
        ",message:" << outcome.error().Message() <<
        ",requestId:" << outcome.error().RequestId() << std::endl;
        return -1;
    }

    /* ネットワークリソースなどのリソースをリリースします。 */
    ShutdownSdk();
    0を返します。}

参考資料

サーバー側の暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。
サーバー側の暗号化設定を照会するために呼び出すAPI操作の詳細については、「GetBucketEncryption」をご参照ください。
サーバー側の暗号化設定を削除するために呼び出すAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。