设置存储桶加密
最近更新时间: 2024-08-23 15:08:00
简介
您可以通过对象存储控制台,对存储桶设置服务端加密,这样可以实现对新上传到该存储桶的对象默认进行加密。关于存储桶加密的详细信息,请参见存储桶加密概述。
目前存储桶的加密方式支持 SSE-COS 加密(即由 CSP 托管密钥的服务端加密)以及SSE-KMS加密(即由KMS托管密钥的服务端加密)。
关于服务端加密的介绍,请参见服务端加密概述。
操作步骤
创建存储桶时设置加密
在创建存储桶时,可以按照下述步骤为存储桶设置加密。
在存储桶列表中,点击【创建存储桶】,填入名称、地域等基础设置。
在服务端加密选项中,选择【SSE-COS】或【SSE-KMS】。
选择SSE-COS时,加密算法将显示AES256,如果启用了SM4算法加密功能,加密算法还将显示SM4。
选择SSE-KMS时,加密算法的显示同上,密钥可以选择【默认密钥】和【已有自定义密钥】。关于这两点的区别,请详见服务端加密概述。
点击【确定】。
在已创建存储桶中设置加密
若您在创建存储桶时未设置加密,您可以按照下述步骤为存储桶设置加密。
在存储桶列表页,找到您需要设置加密的存储桶,单击其名称,进入存储桶配置页面。
选择【安全管理】>【服务端加密】,单击【编辑】,可以修改当前存储桶的加密属性:
注意:
当选择使用用户自定义密钥时,请尽量避免禁用或删除用户自定义密钥,否则可能导致预期之外的误加密,或造成已加密对象无法解密的问题。
关于存储桶加密与上传对象时加密的问题
上传对象时加密有两种方式,一种是通过上传对象时,添加相应header x-cos-server-side-encryption来实现(在控制台上传对象时选择加密方式,即属于这一种),另一种是通过设置存储桶加密来实现。
这两种加密方式的优先级如下所述:
当未设置存储桶加密时,以上传对象时携带的header为主。此时可以是“不加密”,“SSE-COS”,“SSE-KMS”。
当设置了存储桶加密时,若上传对象时未携带相应header(即“不加密”),此时将以存储桶加密为主,可以是“SSE-COS”或“SSE-KMS”。
当设置了存储桶加密时,若上传对象时携带了相应header(即“SSE-COS”或“SSE-KMS”),此时将以header携带为主,无论存储桶加密设置为哪种加密类型。
选择指定的加密方式,然后单击【保存】即可完成存储桶加密配置。