租户端 存储 对象存储(COS) 控制台指南

设置存储桶加密

最近更新时间: 2024-10-17 17:10:00

简介

通过对象存储控制台,对存储桶设置服务端加密,可以实现对新上传到该存储桶的对象默认进行加密。

目前存储桶的加密方式支持 SSE-COS 加密(即由 COS 托管密钥的服务端加密)以及SSE-KMS加密(即由KMS托管密钥的服务端加密)。

操作步骤

创建存储桶时设置加密

在创建存储桶时,可以按照下述步骤为存储桶设置加密。

  1. 在存储桶列表中,点击创建存储桶,填入名称、地域等基础设置。

  2. 服务端加密选项中,选择SSE-COSSSE-KMS

    • 选择SSE-COS时,加密算法将显示AES256,如果启用了SM4算法加密功能,加密算法还将显示SM4。

    • 选择SSE-KMS时,加密算法的显示同上,密钥可以选择默认密钥已有自定义密钥

  3. 点击确定

在已创建存储桶中设置加密

若您在创建存储桶时未设置加密,您可以按照下述步骤为存储桶设置加密。

  1. 在存储桶列表页,找到您需要设置加密的存储桶,单击其名称,进入存储桶配置页面。

  2. 选择安全管理 > 服务端加密,单击编辑,可以修改当前存储桶的加密属性:

    不加密:

    SSE-COS加密:

    SSE-KMS加密(使用默认密钥):

    SSE-KMS加密(使用用户自定义密钥):

    当选择使用用户自定义密钥时,请尽量避免禁用或删除用户自定义密钥,否则可能导致预期之外的误加密,或造成已加密对象无法解密的问题。

关于存储桶加密与上传对象时加密的问题

上传对象时加密有两种方式,一种是通过上传对象时,添加相应header x-cos-server-side-encryption来实现(在控制台上传对象时选择加密方式,即属于这一种),另一种是通过设置存储桶加密来实现。 这两种加密方式的优先级如下所述:

  1. 当未设置存储桶加密时,以上传对象时携带的header为主。此时可以是“不加密”,“SSE-COS”,“SSE-KMS"。

  2. 当设置了存储桶加密时,若上传对象时未携带相应header(即”不加密“),此时将以存储桶加密为主,可以是”SSE-COS"或“SSE-KMS"。

  3. 当设置了存储桶加密时,若上传对象时携带了相应header(即”SSE-COS"或“SSE-KMS"),此时将以header携带为主,无论存储桶加密设置为哪种加密类型。

选择指定的加密方式,然后单击保存即可完成存储桶加密配置。