Object Storage Service:データ暗号化

OSSは、サーバー側の暗号化を使用して保存中のデータを保護します。 この機能は、深層学習サンプルやオンライン共同作業ドキュメントの保存など、セキュリティやコンプライアンスの強化が必要なシナリオで有効にできます。 次のいずれかの方法を選択して、サーバー側の暗号化を実装できます。

• KMS管理キーを使用したサーバー側暗号化 (SSE-KMS)

  オブジェクトをアップロードするときは、key Management Service (KMS) で管理されるデフォルトの顧客マスターキー (CMK) を選択するか、CMKを指定してデータを暗号化および復号化する必要があります。 この方法は、多くのデータ暗号化および復号化操作が含まれるシナリオで特に役立ちます。 SSE-KMSを使用したサーバー側の暗号化は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。

  KMSは、Alibaba Cloudが提供する安全で使いやすいキー管理サービスです。 KMSは、最小限のコストでキーのプライバシー、整合性、および可用性を保証します。 したがって、ニーズに最適な暗号化および復号化機能の開発に集中できます。 KMS コンソールでキーを表示し、管理することができます。

  KMSはAES-256に基づいてデータを暗号化し、データキーの暗号化に使用されるCMKを保存および管理します。 KMSは、データの暗号化と復号化に使用できるデータキーも生成します。 さらに、KMSが提供するエンベロープ暗号化により、データと対応するデータキーを不正アクセスから保護できます。 KMSに保存されているデフォルトのCMKを使用するか、Alibaba Cloudが提供するBYOKマテリアルまたはBYOKマテリアルを使用してCMKを生成できます。

• OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)

  この暗号化方式はオブジェクトの属性です。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーでオブジェクトを暗号化します。 データキーの暗号化に使用されるCMKは、セキュリティを強化するために定期的にローテーションされます。 この方法は、一度に複数のオブジェクトの暗号化と復号化に適しています。

  この方法では、データキーはOSSによって生成および管理されます。 サーバー側暗号化を使用してオブジェクトを暗号化するには、オブジェクトがアップロードされるバケットの既定のサーバー側暗号化アルゴリズムとしてAES-256を指定するか、オブジェクトをアップロードするリクエストにx-oss-server-side-encryptionヘッダーを指定して、ヘッダーをAES256に設定します。

クライアント側の暗号化には、次の2種類のCMKを使用できます。

• KMSマネージドCMK

  クライアント側の暗号化にKMSで管理されたCMKを使用する場合、オブジェクトをアップロードするときにCMK IDを指定します。OSS暗号化クライアントにデータキーを提供する必要はありません。 次の図は、暗号化プロセスを示しています。

  

• 顧客管理の CMK を使用

  クライアント側の暗号化に顧客管理CMKを使用する場合は、CMKを生成して管理する必要があります。 アップロードするオブジェクトにクライアント側の暗号化を実装する場合は、対称CMKまたは非対称CMKをクライアントにアップロードする必要があります。 次の図は、暗号化プロセスを示しています。