Object Storage Service:サーバー側暗号化

背景情報

OSS で提供されているサーバー側の暗号化方法は以下の通りです。

• KMS管理CMKを使用したサーバー側暗号化 (SSE-KMS)

  オブジェクトをアップロードするときは、指定されたIDのカスタマーマスターキー (CMK) またはKMSが管理するデフォルトのCMKを使用してデータを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。

  重要

  CMKを使用してデータを暗号化または復号化するAPI操作を呼び出すと、課金されます。 詳細については、「KMSの課金」をご参照ください。

• OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)

  オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。

使用上の注意

• このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba CloudサービスからOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。

• このトピックでは、アクセス資格情報は環境変数から取得します。 アクセス資格情報の設定方法の詳細については、「アクセス資格情報の設定」をご参照ください。

• このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。

• バケットのサーバー側暗号化を設定するには、oss:PutBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

バケットのサーバー側暗号化を設定する

次のサンプルコードは、バケットの既定の暗号化方式を設定する方法の例を示しています。 メソッドが設定された後、暗号化方法を指定せずにバケットにアップロードされたすべてのオブジェクトは、デフォルトの暗号化方法を使用して暗号化されます。

# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
oss2.modelsからServerSideEncryptionRuleをインポート
# 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。 
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
# バケットの名前を指定します。 例: examplebucket. 
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'examplebucket')

# バケットの暗号化設定を作成します。 この例では、AES-256暗号化が使用される。 
rule = ServerSideEncryptionRule()
rule.sse_algorithm = oss2.SERVER_SIDE_ENCRYPTION_AES256
# CMK IDを指定します。 CMK IDは、OSS-KMS暗号化方式を使用する場合にのみ指定できます。 暗号化に指定したCMKを使用する場合は、CMK IDを入力します。 KMSが管理するデフォルトのCMKを暗号化に使用する場合は、このパラメーターを空のままにします。 AES-256暗号化を使用する場合は、このパラメーターを空のままにする必要があります。 
rule.kms_master_keyid = ""

# 暗号化設定をバケットに適用します。 
result = bucket.put_bucket_encryption (ルール)

# 返されたHTTPステータスコードを表示します。 
print('http応答コード: ', result.status) 

バケットのサーバー側暗号化設定の照会

次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。

# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
# 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。 
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
# バケットの名前を指定します。 例: examplebucket. 
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'examplebucket')

# バケットのサーバー側の暗号化設定を照会します。 
result = bucket.get_bucket_encryption()
# 取得したサーバー側の暗号化設定を表示します。 
print('sse_algorithm:', result.sse_algorithm)
print('kms_master_keyid:', result.kms_master_keyid) # 暗号化方式がAES256の場合、kms_master_keyidをNoneに設定します。

バケットのサーバー側暗号化設定の削除

次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。

# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
# 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。 
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
# バケットの名前を指定します。 例: examplebucket. 
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'examplebucket')

# バケットのサーバー側の暗号化設定を削除します。 
result = bucket.de lete_bucket_encryption()
# 返されたHTTPステータスコードを表示します。 
print('http status:', result.status) 

参考資料

• サーバー側暗号化の完全なサンプルコードについては、『GitHub』をご参照ください。

• サーバー側暗号化を設定するためのAPI操作の詳細については、「PutBucketEncryption」をご参照ください。

• サーバー側の暗号化設定を照会するためのAPI操作の詳細については、「GetBucketEncryption」をご参照ください。

• サーバー側の暗号化設定を削除するためのAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。