设置存储桶加密
最近更新时间: 2024-06-12 15:06:00
简介
通过对象存储控制台,对存储桶设置服务端加密,可以实现对新上传到该存储桶的对象默认进行加密。 目前存储桶的加密方式支持 SSE-COS 加密(即由 COS 托管密钥的服务端加密)以及SSE-KMS加密(即由KMS托管密钥的服务端加密)。
操作步骤
创建存储桶时设置加密
在创建存储桶时,可以按照下述步骤为存储桶设置加密。
在【存储桶列表】中,点击【创建存储桶】,填入名称、地域等基础设置。
在【服务端加密】选项中,选择【SSE-COS】或【SSE-KMS】。
选择SSE-COS时,加密算法将显示AES256,如果启用了SM4算法加密功能,加密算法还将显示SM4。
选择SSE-KMS时,加密算法的显示同上,密钥可以选择【默认密钥】和【已有自定义密钥】。
点击【确定】。
在已创建存储桶中设置加密
若您在创建存储桶时未设置加密,您可以按照下述步骤为存储桶设置加密。
在【存储桶列表】页,找到您需要设置加密的存储桶,单击其名称,进入存储桶配置页面。
选择【安全管理】>【服务端加密】,单击【编辑】,可以修改当前存储桶的加密属性:
不加密:
SSE-COS加密:
SSE-KMS加密(使用默认密钥):
SSE-KMS加密(使用用户自定义密钥):
当选择使用用户自定义密钥时,请尽量避免禁用或删除用户自定义密钥,否则可能导致预期之外的误加密,或造成已加密对象无法解密的问题。
关于存储桶加密与上传对象时加密的问题
上传对象时加密有两种方式,一种是通过上传对象时,添加相应header x-cos-server-side-encryption来实现(在控制台上传对象时选择加密方式,即属于这一种),另一种是通过设置存储桶加密来实现。
这两种加密方式的优先级如下所述:
当未设置存储桶加密时,以上传对象时携带的header为主。此时可以是“不加密”,“SSE-COS”,“SSE-KMS"。
当设置了存储桶加密时,若上传对象时未携带相应header(即”不加密“),此时将以存储桶加密为主,可以是”SSE-COS"或“SSE-KMS"。
当设置了存储桶加密时,若上传对象时携带了相应header(即”SSE-COS"或“SSE-KMS"),此时将以header携带为主,无论存储桶加密设置为哪种加密类型。
选择指定的加密方式,然后单击【保存】即可完成存储桶加密配置。