Object Storage Service (OSS) は、サーバー上のアップロードされたデータを暗号化できます。 これはサーバー側暗号化と呼ばれます。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 OSSからデータをダウンロードすると、OSSはデータを復号し、復号されたデータを返します。 さらに、データがサーバ上で暗号化されていることを宣言するために、ヘッダが応答に追加される。
使用上の注意
このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba Cloudサービスを使用してOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSでサポートされているリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、アクセス資格情報は環境変数から取得します。 アクセス資格情報の設定方法の詳細については、「アクセス資格情報の設定」をご参照ください。
このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。
バケットのサーバー側暗号化を設定するには、
oss:PutBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption
権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption
権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。
背景情報
OSS で提供されているサーバー側の暗号化方法は以下の通りです。
KMS管理CMKを使用したサーバー側暗号化 (SSE-KMS)
オブジェクトをアップロードするときは、指定されたIDのカスタマーマスターキー (CMK) またはKMSが管理するデフォルトのCMKを使用してデータを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。
重要CMKを使用してデータを暗号化または復号化するAPI操作を呼び出すと、課金されます。 詳細については、「KMSの課金」をご参照ください。
OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)
オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。
バケットのサーバー側暗号化を設定する
次のサンプルコードは、バケットの既定の暗号化方式を設定する方法の例を示しています。 メソッドが設定された後、暗号化方法を指定せずにバケットにアップロードされたすべてのオブジェクトは、デフォルトの暗号化方法を使用して暗号化されます。
パッケージメイン
import (import (import)
"fmt"
"os"
「github.com/aliyun/aliyun-oss-go-sdk/oss」
)
func main() {
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// OSSClientインスタンスを作成します。
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。
client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 暗号化ルールを初期化します。 この例では、AES-256暗号化アルゴリズムが使用される。
config := oss.ServerEncryptionRule{SSEDefault: oss.SSEDefaultRule{SSEAlgorithm: "AES256"}}
err = client.SetBucketEncryption("yourBucketName", config)
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
}
バケットのサーバー側暗号化設定の照会
次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。
パッケージメイン
import (import (import)
"fmt"
「github.com/aliyun/aliyun-oss-go-sdk/oss」
"os"
)
func main() {
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// Create an OSSClient instance.
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。
client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// バケットに設定された暗号化ルールを取得します。
ret, err := client.GetBucketEncryption("yourBucketName")
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 暗号化ルールを表示します。
fmt.Println("Encrypt rule", ret.SSEDefault.SSEAlgorithm)
}
バケットのサーバー側暗号化設定の削除
次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。
パッケージメイン
import (import (import)
"fmt"
「github.com/aliyun/aliyun-oss-go-sdk/oss」
"os"
)
func main() {
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// OSSClientインスタンスを作成します。
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。
client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// バケットに設定された暗号化ルールを削除します。
err = client.DeleteBucketEncryption("yourBucketName")
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
}
参考資料
サーバー側暗号化の実行に使用される完全なサンプルコードについては、『GitHub』をご参照ください。
サーバー側の暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。
サーバー側の暗号化設定を照会するために呼び出すAPI操作の詳細については、「GetBucketEncryption」をご参照ください。
サーバー側の暗号化設定を削除するために呼び出すAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。