Object Storage Service (OSS) は、アップロードされたデータのサーバー側暗号化をサポートしています。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 暗号化されたデータをダウンロードすると、OSSは自動的にデータを復号し、元のデータを返し、応答のヘッダーに、データがサーバー上で暗号化されたことを宣言します。
使用上の注意
このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba CloudサービスからOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSecurity Token Service (STS) を使用してOSSClientインスタンスを作成する場合は、「OSSClientインスタンスの作成」をご参照ください。
バケットのサーバー側暗号化を設定するには、
oss:PutBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption
権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。
暗号化方法
OSS で提供されているサーバー側の暗号化方法は以下の通りです。
KMS管理キーを使用したサーバー側暗号化 (SSE-KMS)
オブジェクトをアップロードするときに、指定された顧客マスターキー (CMK) IDまたはキー管理サービス (KMS) によって管理されるデフォルトのCMKを使用して、オブジェクトを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。
CMKを使用してデータを暗号化または復号化する場合、API操作の呼び出しに対して課金されます。 料金の詳細については、「KMSの課金」をご参照ください。
OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)
オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。
オブジェクトは、一度に1つのサーバー側暗号化方法のみで暗号化できます。
バケットのサーバー側暗号化を設定しても、オブジェクトをアップロードまたはコピーするときに、単一のオブジェクトの暗号化方法を設定できます。 この場合、オブジェクトに設定された暗号化方式が優先されます。 詳細は、「PutObject」をご参照ください。
サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。
バケットのサーバー側暗号化を設定する
バケットのデフォルトのサーバー側暗号化方法を設定できます。 メソッドが設定された後、バケットにアップロードされたすべてのオブジェクトは、サーバー側の暗号化メソッドが設定されていない場合、既定のメソッドを使用して暗号化されます。
次のサンプルコードは、バケットに既定のサーバー側暗号化方式を設定する方法の例を示しています。
<?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。OSS\Model\ServerSideEncryptionConfigを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";
$config=配列 (
"provider" => $provider、
"endpoint" => $end ポイント、
);
$ossClient = new OssClient($config);
try {
// バケットのデフォルトのサーバー側暗号化方式をSSE-OSSに設定します。
$config = new ServerSideEncryptionConfig("AES256");
$ossClient->putBucketEncryption($bucket, $config);
// CMK IDを指定せずに、バケットのデフォルトのサーバー側暗号化方式をKMSに設定します。
$config = new ServerSideEncryptionConfig("KMS");
$ossClient->putBucketEncryption($bucket, $config);
// バケットのデフォルトのサーバー側暗号化方式をKMSに設定し、CMK IDを指定します。
$config = new ServerSideEncryptionConfig("KMS" 、"your kms id");
$ossClient->putBucketEncryption($bucket, $config);
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage()) 。 "\n");
戻ります。}
print(__FUNCTION__) 。 ": OK" 。 "\n");
バケットのサーバー側暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。
バケットのサーバー側暗号化設定の照会
次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。
<?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。OSS\Model\ServerSideEncryptionConfigを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";
$config=配列 (
"provider" => $provider、
"endpoint" => $end ポイント、
);
$ossClient = new OssClient($config);
try {
// バケットのサーバー側暗号化設定を照会します。
$config = $ossClient->getBucketEncryption($bucket);
// バケットのサーバー側の暗号化設定を表示します。
print($config->getSSEAlgorithm());
プリント ($config->getKMSMasterKeyID());
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage()) 。 "\n");
戻ります。}
print(__FUNCTION__) 。 ": OK" 。 "\n");
バケットのサーバー側の暗号化設定を照会するために呼び出すことができるAPI操作の詳細については、「GetBucketEncryption」をご参照ください。
バケットのサーバー側暗号化設定の削除
次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。
<?php
if (is_file(__DIR__) 。 '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__) 。 '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
OSS\Credentials\EnvironmentVariableCredentialsProviderを使用します。OSS\OssClientを使用します。OSS\Core\OssExceptionを使用します。// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
$provider = new EnvironmentVariableCredentialsProvider();
// この例では、中国 (杭州) リージョンがエンドポイントとして使用されます。 実際のエンドポイントを指定します。
$end point = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";
$config=配列 (
"provider" => $provider、
"endpoint" => $end ポイント、
);
$ossClient = new OssClient($config);
try {
// バケットのサーバー側暗号化設定を削除します。
$ossClient->deleteBucketEncryption($bucket);
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage()) 。 "\n");
戻ります。}
print(__FUNCTION__) 。 ": OK" 。 "\n");
バケットのサーバー側の暗号化設定を削除するために呼び出すことができるAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。