Object Storage Service (OSS) は、サーバー上のアップロードされたデータを暗号化できます。 これはサーバー側暗号化と呼ばれます。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続的に保存します。 OSSからデータをダウンロードすると、OSSはデータを復号し、復号されたデータを返します。 さらに、データがサーバ上で暗号化されていることを宣言するために、ヘッダが応答に追加される。
背景情報
OSS で提供されているサーバー側の暗号化方法は以下の通りです。
KMS管理CMKを使用したサーバー側暗号化 (SSE-KMS)
オブジェクトをアップロードするときは、指定されたIDのカスタマーマスターキー (CMK) またはKMSが管理するデフォルトのCMKを使用してデータを暗号化できます。 この方法は、暗号化と復号化のためにKMSサーバーにデータを送信する必要がないため、費用対効果が高くなります。
重要CMKを使用してデータを暗号化または復号化するAPI操作を呼び出すと、課金されます。 詳細については、「KMSの課金」をご参照ください。
OSS管理キーを使用したサーバー側暗号化 (SSE-OSS)
オブジェクトをアップロードすると、OSSはOSSが管理するAES-256キーを使用して、サーバー側でオブジェクトを暗号化します。 OSSサーバー側暗号化では、AES-256を使用して、異なるデータキーを使用してオブジェクトを暗号化します。 AES-256は、定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。
バケットのサーバー側暗号化を設定する
次のサンプルコードは、バケットの既定の暗号化方式を設定する方法の例を示しています。 メソッドが設定された後、暗号化方法を指定せずにバケットにアップロードされたすべてのオブジェクトは、デフォルトの暗号化方法を使用して暗号化されます。
const OSS = require("ali-oss");
const client = new OSS({
// バケットが配置されているリージョンを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、リージョンをoss-cn-Hangzhouに設定します。
region: 'yourregion' 、
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。
accessKeyId: process.env.OSS_ACCESS_KEY_ID、
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET、
// バケットの名前を指定します。
bucket: 'yourbucketname'
});
async関数putBucketEncryption() {
try {
// バケットの暗号化方式を設定します。
const result = await client.putBucketEncryption("bucket-name", {
SSEAlgorithm: "AES256", // この例では、AES-256暗号化アルゴリズムが使用される。 KMSを暗号化に使用するには、KMSMasterKeyIDを指定する必要があります。
// KMSMasterKeyID: "yourKMSMasterKeyId" 。 CMK IDを指定します。 このパラメーターは、SSEAlgorithmがKMSに設定され、特定のCMKが暗号化に使用される場合に使用でき、必要になります。 それ以外の場合は、このパラメーターを空のままにします。
});
console.log (結果);
} catch (e) {
console.log(e);
}
}
putBucketEncryption();
バケットのサーバー側暗号化設定の取得
次のサンプルコードは、バケットのサーバー側の暗号化設定を照会する方法の例を示しています。
const OSS = require("ali-oss");
const client = new OSS({
// バケットが配置されているリージョンを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、リージョンをoss-cn-Hangzhouに設定します。
region: 'yourregion' 、
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。
accessKeyId: process.env.OSS_ACCESS_KEY_ID、
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET、
// バケットの名前を指定します。
bucket: 'yourbucketname'
});
async関数getBucketEncryption() {
try {
const result = await client.getBucketEncryption("bucket-name");
console.log (結果);
} catch (e) {
console.log(e);
}
}
getBucketEncryption();
バケットのサーバー側暗号化設定の削除
次のサンプルコードは、バケットのサーバー側の暗号化設定を削除する方法の例を示しています。
const OSS = require("ali-oss");
const client = new OSS({
// バケットが配置されているリージョンを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、リージョンをoss-cn-Hangzhouに設定します。
region: 'yourregion' 、
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、環境変数OSS_ACCESS_KEY_IDとOSS_ACCESS_KEY_SECRETが設定されていることを確認してください。
accessKeyId: process.env.OSS_ACCESS_KEY_ID、
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET、
// バケットの名前を指定します。
bucket: 'yourbucketname'
});
async関数deleteBucketEncryption() {
try {
// バケットのサーバー側暗号化設定を削除します。
const result = await client.de leteBucketEncryption("bucket-name");
console.log (結果);
} catch (e) {
console.log(e);
}
}
deleteBucketEncryption();
参考資料
サーバー側暗号化の完全なサンプルコードについては、『GitHub』をご参照ください。
サーバー側の暗号化を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketEncryption」をご参照ください。
サーバー側の暗号化設定を照会するために呼び出すAPI操作の詳細については、「GetBucketEncryption」をご参照ください。
サーバー側の暗号化設定を削除するために呼び出すAPI操作の詳細については、「DeleteBucketEncryption」をご参照ください。