Object Storage Service (OSS) は、アップロードされたデータに対してサーバ側暗号化を提供します。データをアップロードすると、OSS はデータを暗号化して保存します。データをダウンロードすると、OSS は自動的にデータを復号化して元のデータを返します。HTTP 応答ヘッダーは、データがサーバー側で暗号化されたことを示します。
注意事項
サーバ側暗号化を設定する前に、この機能について理解していることを確認してください。詳細については、「サーバ側暗号化」をご参照ください。
このトピックのサンプルコードでは、中国 (杭州) リージョン (
cn-hangzhou) のパブリックエンドポイントを例として使用しています。同じリージョン内の他の Alibaba Cloud プロダクトから OSS にアクセスする場合は、内部ネットワークエンドポイントを使用する必要があります。OSS がサポートするリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。バケットの暗号化を設定するには、
oss:PutBucketEncryption権限が必要です。バケットの暗号化構成を取得するには、oss:GetBucketEncryption権限が必要です。バケットの暗号化構成を削除するには、oss:DeleteBucketEncryption権限が必要です。詳細については、「RAM ユーザーへのカスタムポリシーのアタッチ」をご参照ください。
例
バケット暗号化の設定
次のコードを使用して、バケットのデフォルトの暗号化方式を設定できます。設定が完了すると、暗号化方式が指定されずにバケットにアップロードされたすべてのオブジェクトは、バケットのデフォルトの暗号化方式を使用して暗号化されます。
<?php
// 依存関係をロードするためにオートローダーファイルをインポートします。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドライン引数の説明を定義します。
$optsdesc = [
"region" => ['help' => 'The region in which the bucket is located', 'required' => True], // 必須。バケットが配置されているリージョン。
"endpoint" => ['help' => 'The domain names that other services can use to access OSS', 'required' => False], // オプション。他のサービスが OSS にアクセスするために使用できるドメイン名。
"bucket" => ['help' => 'The name of the bucket', 'required' => True], // 必須。バケットの名前。
];
// コマンドライン引数を解析するためのロングオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメーターの後のコロン (:) は、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドライン引数を解析します。
$options = getopt("", $longopts);
// 必須の引数が欠落していないか確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須の引数が欠落していることをユーザーに通知します。
exit(1);
}
}
// コマンドライン引数の値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケット名。
// 環境変数から認証情報 (AccessKeyId と AccessKeySecret) をロードします。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト構成を使用します。
$cfg = Oss\Config::loadDefault();
// 認証情報プロバイダーを設定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを設定します。
$cfg->setRegion($region);
// エンドポイントが指定されている場合は、エンドポイントを設定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSS クライアントインスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットの暗号化構成を設定するためのリクエストオブジェクトを作成します。KMS 暗号化アルゴリズムを使用し、データ暗号化方式として SM4 を指定します。
$request = new Oss\Models\PutBucketEncryptionRequest(
bucket: $bucket,
serverSideEncryptionRule: new Oss\Models\ServerSideEncryptionRule(
applyServerSideEncryptionByDefault: new Oss\Models\ApplyServerSideEncryptionByDefault(
sseAlgorithm: 'KMS', // KMS 暗号化アルゴリズムを使用します。
kmsDataEncryption: 'SM4' // データ暗号化方式は SM4 です。
))
);
// putBucketEncryption メソッドを呼び出して、バケットの暗号化構成を設定します。
$result = $client->putBucketEncryption($request);
// 応答を出力します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result->requestId // リクエストの一意の識別子。
);
バケット暗号化構成の取得
次のコードを使用して、バケットの暗号化構成を取得できます。
<?php
// 依存関係をロードするためにオートローダーファイルをインポートします。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドライン引数の説明を定義します。
$optsdesc = [
"region" => ['help' => 'The region in which the bucket is located', 'required' => True], // 必須。バケットが配置されているリージョン。
"endpoint" => ['help' => 'The domain names that other services can use to access OSS', 'required' => False], // オプション。他のサービスが OSS にアクセスするために使用できるドメイン名。
"bucket" => ['help' => 'The name of the bucket', 'required' => True], // 必須。バケットの名前。
];
// コマンドライン引数を解析するためのロングオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメーターの後のコロン (:) は、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドライン引数を解析します。
$options = getopt("", $longopts);
// 必須の引数が欠落していないか確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須の引数が欠落していることをユーザーに通知します。
exit(1);
}
}
// コマンドライン引数の値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケット名。
// 環境変数から認証情報 (AccessKeyId と AccessKeySecret) をロードします。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト構成を使用します。
$cfg = Oss\Config::loadDefault();
// 認証情報プロバイダーを設定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを設定します。
$cfg->setRegion($region);
// エンドポイントが指定されている場合は、エンドポイントを設定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSS クライアントインスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットの暗号化構成を取得するためのリクエストオブジェクトを作成します。
$request = new Oss\Models\GetBucketEncryptionRequest(bucket: $bucket);
// getBucketEncryption メソッドを呼び出して、バケットの暗号化構成を取得します。
$result = $client->getBucketEncryption($request);
// 応答を出力します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result->requestId . PHP_EOL . // リクエストの一意の識別子。
'encryption:' . var_export($result->serverSideEncryptionRule, true) // 暗号化構成。
);
バケット暗号化構成の削除
次のコードを使用して、バケットの暗号化構成を削除できます。
<?php
// 依存関係をロードするためにオートローダーファイルをインポートします。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドライン引数の説明を定義します。
$optsdesc = [
"region" => ['help' => 'The region in which the bucket is located', 'required' => True], // 必須。バケットが配置されているリージョン。
"endpoint" => ['help' => 'The domain names that other services can use to access OSS', 'required' => False], // オプション。他のサービスが OSS にアクセスするために使用できるドメイン名。
"bucket" => ['help' => 'The name of the bucket', 'required' => True], // 必須。バケットの名前。
];
// コマンドライン引数を解析するためのロングオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメーターの後のコロン (:) は、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドライン引数を解析します。
$options = getopt("", $longopts);
// 必須の引数が欠落していないか確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須の引数が欠落していることをユーザーに通知します。
exit(1);
}
}
// コマンドライン引数の値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケット名。
// 環境変数から認証情報 (AccessKeyId と AccessKeySecret) をロードします。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト構成を使用します。
$cfg = Oss\Config::loadDefault();
// 認証情報プロバイダーを設定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを設定します。
$cfg->setRegion($region);
// エンドポイントが指定されている場合は、エンドポイントを設定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSS クライアントインスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットの暗号化構成を削除するためのリクエストオブジェクトを作成します。
$request = new Oss\Models\DeleteBucketEncryptionRequest(bucket: $bucket);
// deleteBucketEncryption メソッドを呼び出して、バケットの暗号化構成を削除します。
$result = $client->deleteBucketEncryption($request);
// 応答を出力します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result->requestId // リクエストの一意の識別子。
);
関連ドキュメント
サーバ側暗号化の完全なサンプルコードについては、put_bucket_encryption、get_bucket_encryption、および delete_bucket_encryption をご参照ください。
サーバ側暗号化を設定するための API 操作の詳細については、「PutBucketEncryption」をご参照ください。
サーバ側暗号化構成を取得するための API 操作の詳細については、「GetBucketEncryption」をご参照ください。
サーバ側暗号化構成を削除するための API 操作の詳細については、「DeleteBucketEncryption」をご参照ください。