全部產品
Search

搜尋本產品

    Object Storage Service:bucket-encryption(伺服器端加密)

    文件中心

    Object Storage Service:bucket-encryption(伺服器端加密)

    更新時間:Jul 31, 2024

    設定管理員端加密(即Bucket加密)後,OSS對上傳的檔案(Object)進行加密,再將得到的加密檔案持久化儲存。下載檔案時,OSS自動將加密檔案解密後返回給使用者。本文介紹如何通過 bucket-encryption命令添加、修改、查詢和刪除Bucket的加密配置。

    注意事項

    • 要添加或修改Bucket加密配置,您必須具有oss:PutBucketEncryption許可權;要擷取Bucket加密配置,您必須具有oss:GetBucketEncryption許可權;要刪除Bucket加密配置,您必須具有oss:DeleteBucketEncryption許可權。具體操作,請參見為RAM使用者授權自訂的權限原則

    • 從ossutil 1.6.16版本開始,命令列中Binary名稱支援直接使用ossutil,您無需根據系統重新整理Binary名稱。如果您的ossutil版本低於1.6.16,則需要根據系統重新整理Binary名稱。更多資訊,請參見命令列工具ossutil命令參考

    • 關於伺服器端加密的更多資訊,請參見伺服器端加密

    添加或修改Bucket加密配置

    • 命令格式

      ossutil bucket-encryption --method put oss://bucketName  --sse-algorithm algorithmName 
[--kms-masterkey-id  keyid]

      參數說明如下:

      參數

      說明

      bucketName

      設定管理員端加密的目標Bucket。

      --sse-algorithm

      Bucket的加密方式。

      取值:

      • KMS:使用KMS託管密鑰進行加解密,即SSE-KMS。

      • AES256:使用OSS完全託管密鑰進行加解密,即SSE-OSS。

      說明

      在OSS ON雲盒使用情境中,僅支援AES256。

      --kms-masterkey-id

      當加密方式為SSE-KMS時,OSS使用預設託管的KMS CMK進行加密。如果您希望通過指定的KMS CMK進行加密,請通過此選項設定正確的CMK ID。

      說明

      在OSS ON雲盒使用情境中,不支援使用此選項。

    • 使用樣本

      • 將examplebucket的伺服器端加密方式設定為SSE-OSS,並指定密碼編譯演算法為AES256。

        ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256

      • 將examplebucket的伺服器端加密方式設定為SSE-KMS,指定CMK ID,並使用預設密碼編譯演算法AES256進行加密。

        ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm KMS --kms-masterkey-id 9468da86-3509-4f8d-a61e-6eab1eac****

      • 以下輸出結果表明examplebucket已成功設定管理員端加密。

        0.856895(s) elapsed

    擷取Bucket加密配置

    • 命令格式

      ossutil bucket-encryption --method get oss://bucketname

    • 使用樣本

      擷取examplebucket的加密配置。命令如下:

      ossutil bucket-encryption --method get oss://examplebucket

      以下輸出結果表明examplebucket配置的伺服器端加密方式為SSE-KMS,未指定CMK ID,且密碼編譯演算法為AES256。

      SSEAlgorithm:KMS
KMSMasterKeyID:
KMSDataEncryption:

    刪除Bucket加密配置

    • 命令格式

      ossutil bucket-encryption --method delete oss://bucketname

    • 使用樣本

      刪除examplebucket的加密配置。命令如下:

      ossutil bucket-encryption --method delete oss://examplebucket

      以下輸出結果表明已成功刪除examplebucket的伺服器端加密配置。

      0.856686(s) elapsed

    通用選項

    當您需要通過命令列工具ossutil切換至另一個地區的Bucket時,可以通過-e選項指定該Bucket所屬的Endpoint。當您需要通過命令列工具ossutil切換至另一個阿里雲帳號下的Bucket時,可以通過-i選項指定該帳號的AccessKey ID,並通過-k選項指定該帳號的AccessKey Secret。

    例如,您需要為另一個阿里雲帳號下,華東1(杭州)名為examplebucket的儲存空間配置AES256的加密方式,命令如下:

    ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256 -e oss-cn-hangzhou.aliyuncs.com -i LTAI4Fw2NbDUCV8zYUzA****  -k 67DLVBkH7EamOjy2W5RVAHUY9H****

    關於此命令的其他通用選項的更多資訊,請參見通用選項