Object Storage Service:data encryption

OSS は、サーバー側暗号化を使用して保存データの保護を提供します。この方法は、ディープラーニングのサンプルファイルやオンライン共同作業ドキュメントの保存など、ファイルストレージに高いセキュリティやコンプライアンスが求められるシナリオに適しています。OSS は、さまざまなシナリオに対応するために、次の 2 つのサーバー側暗号化メソッドを提供しています：

• KMS で管理されるキーを使用した暗号化と復号 (SSE-KMS)

  オブジェクトをアップロードする際、Key Management Service (KMS) で管理されるデフォルトのカスタマーマスターキー (CMK) または指定された CMK ID を使用して暗号化できます。この方法は、大量のデータの暗号化と復号に適しています。暗号化と復号のためにデータをネットワーク経由で KMS サーバーに送信する必要がないため、低コストの暗号化メソッドです。

  KMS は、Alibaba Cloud が提供する安全で使いやすい管理サービスです。キーの機密性、整合性、可用性を保護するために多額の投資をする必要はありません。KMS を使用すると、キーを安全かつ便利に使用でき、暗号化および復号機能の開発に集中できます。KMS コンソールで KMS キーを表示および管理できます。

  KMS は、AES-256 暗号化アルゴリズムとエンベロープ暗号化を使用して、不正なデータアクセスを防ぎます。KMS はデータ暗号化キーを生成し、ご利用の CMK を使用してそれらを暗号化します。OSS が管理するデフォルトの KMS キーを使用するか、Bring Your Own Key (BYOK) 機能を使用して CMK を生成できます。BYOK のキーマテリアルは、Alibaba Cloud が提供することも、お客様がインポートすることもできます。

  次の図に、SSE-KMS サーバー側暗号化の仕組みを示します。

• OSS で管理される暗号化の使用 (SSE-OSS)

  OSS によって完全に管理されるサーバー側暗号化 (SSE-OSS) は、オブジェクト属性です。SSE-OSS は、業界標準の 256 ビット高度暗号化標準 (AES-256) アルゴリズムを使用して各オブジェクトを暗号化します。各オブジェクトは一意のキーで暗号化されます。保護を強化するために、マスターキーを使用してこれらの一意のデータキーを暗号化します。この方法は、データのバッチ暗号化および復号に適しています。

  この暗号化メソッドでは、OSS がデータ暗号化キーの生成と管理を担当します。バケットのデフォルトのサーバー側暗号化メソッドを AES-256 に設定できます。また、オブジェクトをアップロードしたり、そのメタデータを変更したりする際に、リクエストに X-OSS-server-side-encryption ヘッダーを含め、その値を AES256 に設定することもできます。これにより、オブジェクトのサーバー側暗号化が有効になります。

マスターキーを管理するために、次の 2 つのメソッドがサポートされています：

• KMS で管理されるカスタマーマスターキーの使用

  クライアント側のデータ暗号化に KMS で管理されるカスタマーマスターキーを使用する場合、OSS 暗号化クライアントに暗号鍵を提供する必要はありません。オブジェクトをアップロードする際に、KMS のカスタマーマスターキー ID (CMK ID) を指定するだけで済みます。次の図に、このプロセスを示します。

• 顧客管理キーの使用

  顧客管理キーを使用する場合、暗号鍵を自分で生成して保存する必要があります。ローカルクライアントがオブジェクトを暗号化する際、ローカル暗号化クライアントに暗号鍵 (共通鍵または非対称鍵) を提供する必要があります。次の図に、暗号化プロセスを示します。