サーバ側暗号化を構成すると、Object Storage Service (OSS) はアップロードされたオブジェクトを暗号化し、暗号化されたオブジェクトを永続的に保存します。オブジェクトをダウンロードすると、OSS はオブジェクトを復号化し、復号化されたオブジェクトを返します。このトピックでは、bucket-encryption コマンドを実行して、バケットにサーバ側暗号化構成を追加し、バケットのサーバ側暗号化構成を変更、クエリ、または削除する方法について説明します。
使用上の注意
バケットにサーバ側暗号化構成を追加する場合、またはバケットのサーバ側暗号化構成を変更するには、
oss:PutBucketEncryption権限が必要です。バケットのサーバ側暗号化構成をクエリするには、oss:GetBucketEncryption権限が必要です。バケットのサーバ側暗号化構成を削除するには、oss:DeleteBucketEncryption権限が必要です。詳細については、「RAM ユーザーにカスタムポリシーをアタッチする」をご参照ください。
ossutil 1.6.16 以降では、コマンドラインでバイナリ名として ossutil を直接使用できます。オペレーティングシステムに基づいてバイナリ名を更新する必要はありません。 1.6.16 より前の ossutil の場合は、オペレーティングシステムに基づいてバイナリ名を更新する必要があります。詳細については、「ossutil コマンドリファレンス」をご参照ください。
サーバ側暗号化の詳細については、「サーバ側暗号化」をご参照ください。
バケットにサーバ側暗号化構成を追加する、またはバケットのサーバ側暗号化構成を変更する
コマンド構文
ossutil bucket-encryption --method put oss://bucketName --sse-algorithm algorithmName [--kms-masterkey-id keyid]次の表は、上記のパラメータについて説明しています。
パラメータ
説明
bucketName
バケットの名前。
--sse-algorithm
バケットの暗号化方式。
有効な値:
KMS: Key Management Service (KMS) によって管理されるキーが暗号化と復号に使用されます (SSE-KMS)。
AES256: OSS によって管理されるキーが暗号化と復号に使用されます (SSE-OSS)。
--kms-masterkey-id
暗号化方式が SSE-KMS に設定されている場合に、オブジェクトの暗号化に使用する KMS 管理のカスタマーマスターキー (CMK) の ID。このパラメータを指定しない場合、デフォルトの CMK がオブジェクトの暗号化に使用されます。特定の CMK を使用する場合は、このパラメータを使用して CMK ID を構成します。
説明CloudBox の OSS を使用している場合、このパラメータはサポートされていません。
例
次のコマンドを実行して、examplebucket の暗号化方式を SSE-OSS に設定し、暗号化アルゴリズムを AES-256 に設定します。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256次のコマンドを実行して、examplebucket の暗号化方式を SSE-KMS に設定し、CMK ID を指定し、暗号化アルゴリズムを AES-256 に設定します。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm KMS --kms-masterkey-id 9468da86-3509-4f8d-a61e-6eab1eac****次の出力が表示された場合、examplebucket に対してサーバ側暗号化が構成されています。
0.856895(s) elapsed
バケットのサーバ側暗号化構成をクエリする
コマンド構文
ossutil bucket-encryption --method get oss://bucketname例
次のコマンドを実行して、examplebucket のサーバ側暗号化構成をクエリします。
ossutil bucket-encryption --method get oss://examplebucket次の出力が表示された場合、examplebucket に構成されているサーバ側暗号化方式は SSE-KMS で、CMK ID は指定されておらず、暗号化アルゴリズムは AES-256 です。
SSEAlgorithm:KMS KMSMasterKeyID: KMSDataEncryption:
バケットのサーバ側暗号化構成を削除する
コマンド構文
ossutil bucket-encryption --method delete oss://bucketname例
次のコマンドを実行して、examplebucket のサーバ側暗号化構成を削除します。
ossutil bucket-encryption --method delete oss://examplebucket次の出力が表示された場合、examplebucket のサーバ側暗号化構成は削除されています。
0.856686(s) elapsed
共通オプション
ossutil を使用して別のリージョンにあるバケットに切り替える場合は、-e オプションを追加して、バケットが配置されているリージョンのエンドポイントを指定します。 ossutil を使用して別の Alibaba Cloud アカウントに属するバケットに切り替える場合は、-i オプションを追加して、指定したアカウントの AccessKey ID を指定し、-k オプションを追加して、指定したアカウントの AccessKey シークレットを指定します。
たとえば、次のコマンドを実行して、中国 (杭州) リージョンにあり、別の Alibaba Cloud アカウントが所有する examplebucket という名前のバケットの暗号化方式を AES-256 に設定できます。
ossutil bucket-encryption --method put oss://examplebucket --sse-algorithm AES256 -e oss-cn-hangzhou.aliyuncs.com -i yourAccessKeyID -k yourAccessKeySecret共通オプションの詳細については、「共通オプション」をご参照ください。