简介
存储桶加密是针对存储桶的一项配置,通过设置存储桶加密,可对新上传至该存储桶的所有对象默认以指定的加密方式进行加密。
目前存储桶支持的加密方式有:
SSE-COS 加密:即由对象存储(Cloud Object Storage,COS)托管密钥的服务端加密。
SSE-KMS 加密:即使用 KMS 托管密钥的服务端加密。
使用方法
使用对象存储控制台
在新创建存储桶时设置加密
在已创建存储桶中设置加密
若您在创建存储桶时未设置加密,您可以按照下述步骤为存储桶设置加密。
1. 在 存储桶列表 页面,找到您需要设置加密的存储桶,单击其名称,进入存储桶配置页面。
2. 在左侧导航栏中,单击安全管理 > 服务端加密。
3. 在服务端加密配置项,单击编辑,将当前状态修改为“开启”。
4. 选择指定的加密方式,单击保存即可完成存储桶加密配置。
目前存储桶支持的加密方式有:
SSE-COS 加密:即由对象存储(Cloud Object Storage,COS)托管密钥的服务端加密。
SSE-KMS 加密:即使用 KMS 托管密钥的服务端加密。
说明:
使用 REST API
您可以通过以下 API 配置存储桶加密:
注意事项
在加密存储桶中上传对象
对于需要配置存储桶加密功能的存储桶,需要注意以下几点:
存储桶加密不会对存储桶中已存在的对象产生加密操作。
配置了存储桶加密后,对于上传至该存储桶的对象:
如果您的 PUT 请求中不包含加密信息,则上传的对象会以存储桶加密配置来加密。
如果您的 PUT 请求中包含了加密信息,则上传的对象会以 PUT 请求中的加密信息来加密。
配置了存储桶加密后,对于投递至该存储桶的清单报告:
若清单本身未配置加密,则投递的清单会以存储桶的加密配置来加密。
若清单本身设置了加密,则投递的清单会以清单的加密配置来加密。
配置了存储桶加密后,对于回源至该存储桶的数据,会默认以存储桶的加密配置来加密。
对已配置跨地域复制规则的存储桶进行加密
对于已配置跨地域复制规则的目标存储桶,如果再进行配置存储桶加密,需要注意以下几点:
如果源存储桶中的对象未加密过,则将对目标存储桶中的副本对象进行默认加密设置。
如果源存储桶中的对象已经加密过,则目标存储桶中的副本对象继承源存储桶中的加密,不执行存储桶加密设置。
