對(duì)象存儲(chǔ)OSS支持在服務(wù)器端對(duì)上傳到存儲(chǔ)空間的數(shù)據(jù)進(jìn)行加密，目前支持AES256和KMS兩種加密方式。您可以為存儲(chǔ)空間配置默認(rèn)加密方式，數(shù)據(jù)上傳后，OSS以存儲(chǔ)空間默認(rèn)的加密方式加密數(shù)據(jù)。您也可以上傳數(shù)據(jù)時(shí)在請(qǐng)求中指定數(shù)據(jù)加密的方式，OSS將以上傳請(qǐng)求中指定的加密方式加密數(shù)據(jù)。

下面我們先來看一下，如何為存儲(chǔ)空間指定默認(rèn)的加密方式。

首先，我們登錄OSS管理控制臺(tái)。

為存儲(chǔ)空間指定默認(rèn)加密方式有兩種方法：一、在創(chuàng)建存儲(chǔ)空間時(shí)，在服務(wù)器端加密欄選擇指定的服務(wù)器端加密方式。

二、當(dāng)存儲(chǔ)空間已經(jīng)創(chuàng)建完成后，單擊存儲(chǔ)空間名稱，在基礎(chǔ)設(shè)置中找到服務(wù)器端加密區(qū)域，單擊設(shè)置后設(shè)置默認(rèn)的加密方式。“無”表示不啟用服務(wù)器端加密功能。

AES256加密

AES256表示使用OSS完全托管的加密方式進(jìn)行加密，OSS將使用AES256算法為每個(gè)對(duì)象使用不同的密鑰進(jìn)行加密。作為額外的保護(hù)，它將使用定期輪轉(zhuǎn)的主密鑰，對(duì)加密密鑰本身進(jìn)行加密。

KMS表示使用KMS托管密鑰進(jìn)行加密，這種加密方式需要先進(jìn)入KMS控制臺(tái)開通KMS服務(wù)。

# KMS加密

KMS加密有兩種，一種是選擇KMS后直接保存，OSS將使用默認(rèn)托管的CMK生成不同的密鑰來加密不同的對(duì)象，并且在下載時(shí)自動(dòng)解密。

另一種是選擇KMS后在下拉菜單選擇指定的CMK ID，OSS將使用指定的CMK生成不同的密鑰來加密不同的對(duì)象，并將CMK ID記錄到對(duì)象的元數(shù)據(jù)中。只有具有解密權(quán)限的用戶下載對(duì)象時(shí)會(huì)自動(dòng)解密。

選擇指定的CMK ID前需先進(jìn)入CMK控制臺(tái)，創(chuàng)建一個(gè)和當(dāng)前存儲(chǔ)空間處于同一地域的密鑰。創(chuàng)建密鑰時(shí)，高級(jí)選項(xiàng)中可以選擇密鑰材料來源，阿里云KMS表示使用阿里云提供的BYOK材料創(chuàng)建；若選擇外部，則需上傳您自己的BYOK材料。

秘鑰創(chuàng)建完成后，再次回到OSS控制臺(tái)即可選擇對(duì)應(yīng)的CMK ID了。

服務(wù)器端加密配置完成后，OSS會(huì)根據(jù)配置的加密方式自動(dòng)加密新上傳的數(shù)據(jù)，對(duì)于已有數(shù)據(jù)，OSS不會(huì)進(jìn)行加密。

如果您僅需要加密部分?jǐn)?shù)據(jù)的話，可以不配置存儲(chǔ)空間默認(rèn)加密方式，而是在每次上傳數(shù)據(jù)時(shí)攜帶加密請(qǐng)求，OSS將根據(jù)加密請(qǐng)求加密指定的數(shù)據(jù)。

OSSUtil工具上傳并加密數(shù)據(jù)

下面我們介紹一下通過ossutil工具上傳并加密數(shù)據(jù)。ossutill的安裝及使用方法可參考官網(wǎng)文檔。

在使用ossutill上傳數(shù)據(jù)時(shí)，可以在命令中附帶加密選項(xiàng)，并取值為AES256或KMS。

我們上傳一個(gè)圖片文件，聲明加密方式為AES256，上傳成功后使用stat命令查看文件meta信息?？梢钥吹皆撐募膶傩灾杏羞@樣一項(xiàng)。

說明該文件已經(jīng)被服務(wù)器端加密存儲(chǔ)，加密方式為AES256。

現(xiàn)在再嘗試使用KMS加密。將剛剛命令中的AES256修改為KMS，當(dāng)使用KMS加密時(shí)，OSS會(huì)為每個(gè)文件生成一個(gè)加密密鑰。

可以看到密鑰ID。以上就是對(duì)象存儲(chǔ)OSS服務(wù)器端加密的配置介紹。

阿里云服務(wù)器 阿里云代理商