すべてのプロダクト
Search

このプロダクト

    Object Storage Service:OSS SDK for PHPを使用してバケットのサーバー側暗号化を設定する

    ドキュメントセンター

    Object Storage Service:OSS SDK for PHPを使用してバケットのサーバー側暗号化を設定する

    最終更新日:Mar 13, 2024

    Object Storage Service (OSS) は、アップロードされたデータのサーバー側暗号化をサポートしています。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 暗号化されたデータをダウンロードすると、OSSは自動的にデータを復号し、元のデータを返し、応答のヘッダーに、データがサーバー上で暗号化されたことを宣言します。

    使用上の注意

    • このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba CloudサービスからOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。

    • このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSecurity Token Service (STS) を使用してOSSClientインスタンスを作成する場合は、「OSSClientインスタンスの作成」をご参照ください。

    • バケットのサーバー側暗号化を設定するには、oss:PutBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

    暗号化方法

    OSS で提供されているサーバー側の暗号化方法は以下の通りです。

    • KMS管理キーを使用したサーバー側暗号化 (SSE-KMS)

      オブジェクトをアップロードするときに、指定された顧客マスターキー (CMK) IDまたはキー管理サービス (KMS) によって管理されるデフォルトのCMKを使用して、オブジェクトを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。

      CMKを使用してデータを暗号化または復号化する場合、API操作の呼び出しに対して課金されます。 料金の詳細については、「KMSの課金」をご参照ください。

    • OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)

      オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。

    説明

    • オブジェクトは、一度に1つのサーバー側暗号化方法のみで暗号化できます。

    • バケットのサーバー側暗号化を設定しても、オブジェクトをアップロードまたはコピーするときに、単一のオブジェクトの暗号化方法を設定できます。 この場合、オブジェクトに設定された暗号化方式が優先されます。 詳細は、「PutObject」をご参照ください。

    サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。

    バケットのサーバー側暗号化を設定する

    バケットのデフォルトのサーバー側暗号化方法を設定できます。 メソッドが設定された後、バケットにアップロードされたすべてのオブジェクトは、サーバー側の暗号化メソッドが設定されていない場合、既定のメソッドを使用して暗号化されます。

    次のサンプルコードは、バケットに既定のサーバー側暗号化方式を設定する方法の例を示しています。

    <?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
    require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
    require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。OSS\Model\ServerSideEncryptionConfigを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。  
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。 
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";

$config=配列 (
        "provider" => $provider、
        "endpoint" => $end ポイント、
    );
    $ossClient = new OssClient($config);

try {
    // バケットのデフォルトのサーバー側暗号化方式をSSE-OSSに設定します。 
    $config = new ServerSideEncryptionConfig("AES256");
    $ossClient->putBucketEncryption($bucket, $config);

    // CMK IDを指定せずに、バケットのデフォルトのサーバー側暗号化方式をKMSに設定します。 
    $config = new ServerSideEncryptionConfig("KMS");
    $ossClient->putBucketEncryption($bucket, $config);

    // バケットのデフォルトのサーバー側暗号化方式をKMSに設定し、CMK IDを指定します。 
    $config = new ServerSideEncryptionConfig("KMS" 、"your kms id");
    $ossClient->putBucketEncryption($bucket, $config);
} catch (OssException $e) {
    printf(__FUNCTION__ . ": FAILED\n");
    printf($e->getMessage()) 。 "\n");
    戻ります。}

print(__FUNCTION__) 。 ": OK" 。 "\n");

    バケットのサーバー側暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。

    バケットのサーバー側暗号化設定の照会

    次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。

    <?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
    require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
    require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。OSS\Model\ServerSideEncryptionConfigを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。  
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。 
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";

$config=配列 (
        "provider" => $provider、
        "endpoint" => $end ポイント、
    );
    $ossClient = new OssClient($config);

try {
    // バケットのサーバー側暗号化設定を照会します。 
    $config = $ossClient->getBucketEncryption($bucket);

    // バケットのサーバー側の暗号化設定を表示します。 
    print($config->getSSEAlgorithm());
    プリント ($config->getKMSMasterKeyID());
} catch (OssException $e) {
    printf(__FUNCTION__ . ": FAILED\n");
    printf($e->getMessage()) 。 "\n");
    戻ります。}

print(__FUNCTION__) 。 ": OK" 。 "\n");

    バケットのサーバー側の暗号化設定を照会するために呼び出すことができるAPI操作の詳細については、「GetBucketEncryption」をご参照ください。

    バケットのサーバー側暗号化設定の削除

    次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。

    <?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
    require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
    require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。  
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。 
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";

$config=配列 (
        "provider" => $provider、
        "endpoint" => $end ポイント、
    );
    $ossClient = new OssClient($config);

try {
    // バケットのサーバー側暗号化設定を削除します。 
    $ossClient->deleteBucketEncryption($bucket);
} catch (OssException $e) {
    printf(__FUNCTION__ . ": FAILED\n");
    printf($e->getMessage()) 。 "\n");
    戻ります。}

print(__FUNCTION__) 。 ": OK" 。 "\n");

    バケットのサーバー側の暗号化設定を削除するために呼び出すことができるAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。