すべてのプロダクト
Search

このプロダクト

    Object Storage Service:サーバー側暗号化

    ドキュメントセンター

    Object Storage Service:サーバー側暗号化

    最終更新日:Dec 19, 2023

    Object Storage Service (OSS) は、サーバー上のアップロードされたデータを暗号化できます。 これはサーバー側暗号化と呼ばれます。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 OSSからデータをダウンロードすると、OSSはデータを復号し、復号されたデータを返します。 さらに、データがサーバ上で暗号化されていることを宣言するために、ヘッダが応答に追加される。

    使用上の注意

    • このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba Cloudサービスを使用してOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSでサポートされているリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。

    • このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。

    • バケットのサーバー側暗号化を設定するには、oss:PutBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を照会するには、oss:GetBucketEncryption権限が必要です。 バケットのサーバー側暗号化設定を削除するには、oss:DeleteBucketEncryption権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

    背景情報

    OSS で提供されているサーバー側の暗号化方法は以下の通りです。

    • KMS管理CMKを使用したサーバー側暗号化 (SSE-KMS)

      オブジェクトをアップロードするときは、指定されたIDのカスタマーマスターキー (CMK) またはKMSが管理するデフォルトのCMKを使用してデータを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。

      重要

      CMKを使用してデータを暗号化または復号化するAPI操作を呼び出すと、課金されます。 詳細については、「KMSの課金」をご参照ください。

    • OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)

      オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。

    重要

    • オブジェクトは、一度に1つのサーバー側暗号化方法のみで暗号化できます。

    • バケットのサーバー側暗号化を設定する場合でも、バケットにアップロードまたはコピーするオブジェクトに対して別の暗号化方法を設定できます。 オブジェクトに設定された暗号化方法が優先されます。 詳細は、「PutObject」をご参照ください。

    • サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。

    バケットのサーバー側暗号化を設定する

    次のサンプルコードは、バケットの既定の暗号化方式を設定する方法の例を示しています。 メソッドが設定された後、暗号化方法を指定せずにバケットにアップロードされたすべてのオブジェクトは、デフォルトの暗号化方法を使用して暗号化されます。

    Aliyun.OSSを使用した 
    
Aliyun.OSS.Common; を使用
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
var endpoint = "yourEndpoint";
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
var accessKeyId = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_ID");
var accessKeySecret = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_SECRET");
// バケットの名前を指定します。 例: examplebucket. 
var bucketName = "examplebucket";
// OSSClientインスタンスを作成します。 
var client = new OssClient (エンドポイント、accessKeyId、accessKeySecret);
トライ
{
    // バケットのサーバー側暗号化を設定します。 
    var request = new SetBucketEncryptionRequest(bucketName、"KMS" 、null);
    client.SetBucketEncryption (要求);
    Console.WriteLine("Set bucket:{0} Encryption successed", bucketName);
}
キャッチ (OssException ex)
{
    Console.WriteLine("Failed with error code: {0}; エラー情報: {1} 。 \nRequestID:{2}\tHostID:{3}"、
        ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
}
キャッチ (例外ex)
{
    Console.WriteLine("Failed with error info: {0}" 、メッセージなど);
}

    バケットのサーバー側暗号化設定の照会

    次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。

    Aliyun.OSSを使用した 
    
Aliyun.OSS.Common; を使用
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
var endpoint = "yourEndpoint";
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
var accessKeyId = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_ID");
var accessKeySecret = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_SECRET");
// バケットの名前を指定します。 例: examplebucket. 
var bucketName = "examplebucket";
// OSSClientインスタンスを作成します。 
var client = new OssClient (エンドポイント、accessKeyId、accessKeySecret);
トライ
{
    // バケットのサーバー側暗号化設定を照会します。 
    var result = client.GetBucketEncryption(bucketName);
    Console.WriteLine("Get bucket:{0} Encryption successed", bucketName);

    Console.WriteLine("SSEAlgorithm: {0}", result.SSEAlgorithm);
    Console.WriteLine("KMSMasterKeyID: {0}", result.KMSMasterKeyID);

}
キャッチ (OssException ex)
{
    Console.WriteLine("Failed with error code: {0}; エラー情報: {1} 。 \nRequestID:{2}\tHostID:{3}"、
        ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
}
キャッチ (例外ex)
{
    Console.WriteLine("Failed with error info: {0}" 、メッセージなど);
}

    バケットのサーバー側暗号化設定の削除

    次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。

    Aliyun.OSSを使用した 
    
Aliyun.OSS.Common; を使用
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
var endpoint = "yourEndpoint";
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
var accessKeyId = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_ID");
var accessKeySecret = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_SECRET");
// バケットの名前を指定します。 例: examplebucket. 
var bucketName = "examplebucket";
// OSSClientインスタンスを作成します。 
var client = new OssClient (エンドポイント、accessKeyId、accessKeySecret);
トライ
{
    // バケットのサーバー側暗号化設定を削除します。 
    client.DeleteBucketEncryption(bucketName);
    Console.WriteLine("バケットの削除:{0} 暗号化が成功しました", bucketName);
}
キャッチ (OssException ex)
{
    Console.WriteLine("Failed with error code: {0}; エラー情報: {1} 。 \nRequestID:{2}\tHostID:{3}"、
        ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
}
キャッチ (例外ex)
{
    Console.WriteLine("Failed with error info: {0}" 、メッセージなど);
}

    参考資料

    • サーバー側の暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。

    • サーバー側の暗号化設定を照会するために呼び出すAPI操作の詳細については、「GetBucketEncryption」をご参照ください。

    • サーバー側の暗号化設定を削除するために呼び出すAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。