如何通過Go SDK V2實現服務端加密 - Object Storage Service

OSS支援在服務端對上傳的資料進行加密編碼（Server-Side Encryption）。上傳資料時，OSS對收到的使用者資料進行加密，然後再將得到的加密資料持久化儲存下來。下載資料時，OSS自動對儲存的加密資料進行解密並把未經處理資料返回給使用者，並在返回的HTTP請求Header中，聲明該資料進行了服務端加密。

注意事項

在佈建服務端加密之前，請確保您已瞭解該功能。詳情請參見服務端加密。
本文範例程式碼以華東1（杭州）的地區IDcn-hangzhou為例，預設使用外網Endpoint，如果您希望通過與OSS同地區的其他阿里雲產品訪問OSS，請使用內網Endpoint。關於OSS支援的Region與Endpoint的對應關係，請參見地區和Endpoint。
本文以從環境變數讀取存取憑證為例。如何配置訪問憑證，請參見配置訪問憑證。
要配置Bucket加密，您必須具有oss:PutBucketEncryption許可權；要擷取Bucket加密配置，您必須具有oss:GetBucketEncryption許可權；要刪除Bucket加密配置，您必須具有oss:DeleteBucketEncryption許可權。具體操作，請參見為RAM使用者授予自訂的權限原則。

範例程式碼

配置Bucket加密

您可以通過以下代碼設定Bucket預設加密方式，設定成功之後，所有上傳至該Bucket但未設定加密方式的Object都會使用Bucket預設加密方式進行加密：

package main

import (
	"context"
	"flag"
	"log"

	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)

// 定義全域變數
var (
	region     string // 儲存地區
	bucketName string // 儲存空間名稱
)

// init函數用於初始化命令列參數
func init() {
	flag.StringVar(&region, "region", "", "The region in which the bucket is located.")
	flag.StringVar(&bucketName, "bucket", "", "The name of the bucket.")
}

func main() {
	// 解析命令列參數
	flag.Parse()

	// 檢查bucket名稱是否為空白
	if len(bucketName) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, bucket name required")
	}

	// 檢查region是否為空白
	if len(region) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, region required")
	}

	// 載入預設配置並設定憑證提供者和地區
	cfg := oss.LoadDefaultConfig().
		WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
		WithRegion(region)

	// 建立OSS用戶端
	client := oss.NewClient(cfg)

	// 建立設定儲存空間加密規則的請求
	request := &oss.PutBucketEncryptionRequest{
		Bucket: oss.Ptr(bucketName), // 儲存空間名稱
		ServerSideEncryptionRule: &oss.ServerSideEncryptionRule{
			ApplyServerSideEncryptionByDefault: &oss.ApplyServerSideEncryptionByDefault{
				SSEAlgorithm:      oss.Ptr("KMS"), // 使用KMS密碼編譯演算法
				KMSDataEncryption: oss.Ptr("SM4"), // 使用SM4資料加密演算法
			},
		},
	}

	// 發送設定儲存空間加密規則的請求
	result, err := client.PutBucketEncryption(context.TODO(), request)
	if err != nil {
		log.Fatalf("failed to put bucket encryption %v", err)
	}

	// 列印設定儲存空間加密規則的結果
	log.Printf("put bucket encryption result:%#v\n", result)
}

擷取Bucket加密配置

您可以使用以下代碼擷取Bucket加密配置。

package main

import (
	"context"
	"flag"
	"log"

	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)

// 定義全域變數
var (
	region     string // 儲存地區
	bucketName string // 儲存空間名稱
)

// init函數用於初始化命令列參數
func init() {
	flag.StringVar(&region, "region", "", "The region in which the bucket is located.")
	flag.StringVar(&bucketName, "bucket", "", "The name of the bucket.")
}

func main() {
	// 解析命令列參數
	flag.Parse()

	// 檢查bucket名稱是否為空白
	if len(bucketName) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, bucket name required")
	}

	// 檢查region是否為空白
	if len(region) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, region required")
	}

	// 載入預設配置並設定憑證提供者和地區
	cfg := oss.LoadDefaultConfig().
		WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
		WithRegion(region)

	// 建立OSS用戶端
	client := oss.NewClient(cfg)

	// 建立擷取儲存空間加密配置的請求
	request := &oss.GetBucketEncryptionRequest{
		Bucket: oss.Ptr(bucketName), // 儲存空間名稱
	}

	// 執行擷取儲存空間加密配置的操作並處理結果
	result, err := client.GetBucketEncryption(context.TODO(), request)
	if err != nil {
		log.Fatalf("failed to get bucket encryption %v", err)
	}

	// 列印擷取儲存空間加密配置的結果
	log.Printf("get bucket encryption result:%#v\n", result)
}

刪除Bucket加密配置

您可以使用以下代碼刪除Bucket加密配置。

package main

import (
	"context"
	"flag"
	"log"

	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)

// 定義全域變數
var (
	region     string // 儲存地區
	bucketName string // 儲存空間名稱
)

// init函數用於初始化命令列參數
func init() {
	flag.StringVar(&region, "region", "", "The region in which the bucket is located.")
	flag.StringVar(&bucketName, "bucket", "", "The name of the bucket.")
}

func main() {
	// 解析命令列參數
	flag.Parse()

	// 檢查bucket名稱是否為空白
	if len(bucketName) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, bucket name required")
	}

	// 檢查region是否為空白
	if len(region) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, region required")
	}

	// 載入預設配置並設定憑證提供者和地區
	cfg := oss.LoadDefaultConfig().
		WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
		WithRegion(region)

	// 建立OSS用戶端
	client := oss.NewClient(cfg)

	// 建立刪除儲存空間加密配置的請求
	request := &oss.DeleteBucketEncryptionRequest{
		Bucket: oss.Ptr(bucketName), // 儲存空間名稱
	}

	// 執行刪除儲存空間加密配置的操作並處理結果
	result, err := client.DeleteBucketEncryption(context.TODO(), request)
	if err != nil {
		log.Fatalf("failed to delete bucket encryption %v", err)
	}

	// 列印刪除儲存空間加密配置的結果
	log.Printf("delete bucket encryption result:%#v\n", result)
}

Object Storage Service：服務端加密（Go SDK V2）

注意事項

範例程式碼

配置Bucket加密

擷取Bucket加密配置

刪除Bucket加密配置

相關文檔