すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:バケット暗号化

最終更新日:Dec 20, 2023

サーバー側暗号化を設定すると、Object Storage Service (OSS) はアップロードされたオブジェクトを暗号化し、暗号化されたオブジェクトを永続的に保存します。 オブジェクトをダウンロードすると、OSSはオブジェクトを復号し、復号されたオブジェクトを返します。 このトピックでは、bucket-encryptionコマンドを実行して、バケットの暗号化設定を追加、変更、クエリ、または削除する方法について説明します。

説明
  • このトピックのサンプルコマンドラインは、64ビットLinuxシステムに基づいています。 他のシステムの場合は、を交換します。対応するバイナリ名を持つコマンドの /ossutil64。 詳細については、「ossutilの使用を開始する」をご参照ください。

  • サーバー側の暗号化の仕組みの詳細については、「サーバー側の暗号化」をご参照ください。

バケット暗号化設定の追加または変更

  • コマンド構文

    . /ossutil64 bucket-encryption -- method put oss:// bucketName -- sse-algorithm algorithm Name [-- kms-masterkey-id keyid]

    次の表に、このコマンドを実行してバケット暗号化設定を追加または変更するときに設定できるパラメーターを示します。

    パラメーター

    説明

    bucketName

    サーバー側の暗号化を設定するバケット。

    -- sseアルゴリズム

    バケットの暗号化方法。

    有効な値:

    • KMS: Key Management Service (KMS) によって管理されるキーは、暗号化と復号化 (SSE-KMS) に使用されます。

    • AES256: OSSが管理するキーは、暗号化と復号化 (SSE-OSS) に使用されます。

    -- kms-masterkey-id

    暗号化方法がSSE-KMSに設定されている場合、OSSはデフォルトのKMS管理カスタマーマスターキー (CMK) を使用してオブジェクトを暗号化します。 指定されたKMS管理CMKを使用してオブジェクトを暗号化するには、このパラメーターを有効なCMK IDに設定します。

    • 次のコマンドを実行して、デフォルトの暗号化方法をSSE-OSSに設定し、暗号化アルゴリズムをexamplebucketにAES-256します。

      . /ossutil64 bucket-encryption -- method put oss:// examplebucket -- sse-algorithm AES256
    • 次のコマンドを実行して、examplebucketのデフォルトの暗号化方法をSSE-KMSに設定します。 CMK IDを指定し、暗号化アルゴリズムをAES-256に設定します。

      . /ossutil64 bucket-encryption -- method put oss:// examplebucket -- sse-algorithm KMS -- kms-masterkey-id 9468da86-3509-4f8d-a61e-6eab1eac ****
    • 同様の出力が表示される場合、examplebucketに対してサーバー側の暗号化が設定されます。

      0.856895経過

./ossutil64 bucket-encryption -- メソッドget oss:// bucketname

バケットのサーバー側暗号化設定の照会

  • コマンド構文

    . /ossutil64 bucket-encryption -- メソッドget oss:// bucketname
  • 次のコマンドを実行して、examplebucketの暗号化設定を照会できます。

    . /ossutil64 bucket-encryption -- メソッドget oss:// examplebucket

    同様の出力が表示される場合、examplebucketに設定されたサーバー側の暗号化方法がSSE-KMSされ、CMK IDが指定されず、暗号化アルゴリズムがAES-256されます。

    SSEAlgorithm:KMS
    KMSMasterKeyID:
    KMSDataEncryption: 

バケットのサーバー側暗号化設定の削除

  • コマンド構文

    . /ossutil64 bucket-encryption -- メソッドdelete oss:// bucketname
  • 次のコマンドを実行して、examplebucketのサーバー側の暗号化設定を削除します。

    . /ossutil64 bucket-encryption -- メソッドdelete oss:// examplebucket

    同様の出力が表示される場合、examplebucketのサーバー側の暗号化設定は削除されます。

    0.856686経過

一般的なオプション

ossutilを使用して別のリージョンにあるバケットに切り替える場合は、コマンドに -eオプションを追加して、指定したバケットがあるリージョンのエンドポイントを指定します。 ossutilを使用して別のAlibaba Cloudアカウントに属するバケットに切り替える場合、コマンドに -iオプションを追加して、指定されたアカウントのAccessKey IDを指定し、コマンドに -kオプションを追加して、指定されたアカウントのAccessKeyシークレットを指定します。

たとえば、次のコマンドを実行して、中国 (杭州) リージョンにあり、別のAlibaba Cloudアカウントが所有するexamplebucketという名前のバケットの暗号化方法をAES-256に設定できます。

. /ossutil64 bucket-encryption -- メソッドput oss:// examplebucket -- sse-algorithm AES256 -e oss-cn-hangzhou.aliyuncs.com -i LTAI4Fw2NbDUCV8zYUzA **** -k 67DLVBkH7EamOjy2W5RVAHUY9H ****

bucket-encryptionコマンドに使用できるその他の一般的なオプションの詳細については、「一般的なオプション」をご参照ください。