OSS支持在服务器端对上传的数据进行加密编码(Server-Side Encryption):上传数据时,OSS对收到的用户数据进行加密,然后再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的HTTP请求Header中,声明该数据进行了服务器端加密。

OSS有如下两种服务器端加密方式:
  • 使用OSS托管的CMK进行加密(SSE-KMS)
    上传文件时,可以使用指定的CMK ID或者OSS托管的CMK进行加密操作。数据无需通过网络发送到KMS服务端进行加解密,是一种低成本的加解密方式。
    注意 使用KMS密钥功能时会产生少量的KMS密钥API调用费用。
  • 使用OSS完全托管加密(SSE-OSS)

    上传文件时,OSS服务端使用完全托管的AES256进行加密操作。OSS会为每个对象使用不同的密钥进行加密,作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密。

注意
  • 同一个Object在同一时间内仅可以使用一种服务器器端加密方式。
  • 如果配置了Bucket加密,仍然可以在上传或拷贝Object时单独对Object配置加密方式,且以Object配置的加密方式为准。详情请参见PutObject
  • 更多关于服务器端加密的介绍请参见服务器端加密

配置Bucket加密

您可以通过以下代码设置Bucket默认加密方式,设置成功之后,所有上传至该Bucket但未设置加密方式的Object都会使用Bucket默认加密方式进行加密:

const OSS = require("ali-oss");

const client = new OSS({
  region: "<yourRegion>",
  // 阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。
  accessKeyId: "<yourAccessKeyId>",
  accessKeySecret: "<yourAccessKeySecret>",
  bucket: "<yourBucketName>"
});

async function putBucketEncryption() {
  try {
    // 配置Bucket加密方式。    

    let result = await store.putBucketEncryption("bucket-name", {
      SSEAlgorithm: "AES256", // 此处以设置AES256加密为例。若使用KMS加密,需添加KMSMasterKeyID属性。
      // KMSMasterKeyID:“<yourKMSMasterKeyId>”,  设置KMS密钥ID,加密方式为KMS可设置此项。当SSEAlgorithm值为KMS,且使用指定的密钥加密时,需输入密钥ID。其他情况下,必须为空。
    });
    console.log(result);
  } catch (e) {
    console.log(e);
  }
}

putBucketEncryption();

有关配置Bucket加密规则的更多信息,请参见PutBucketEncryption

获取Bucket加密配置

以下代码用于获取Bucket加密配置:

const OSS = require("ali-oss");

const client = new OSS({
  region: "<yourRegion>",
  // 阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。
  accessKeyId: "<yourAccessKeyId>",
  accessKeySecret: "<yourAccessKeySecret>",
  bucket: "<yourBucketName>"
});

async function getBucketEncryption() {
  try {
    let result = await store.getBucketEncryption("bucket-name");
    console.log(result);
  } catch (e) {
    console.log(e);
  }
}

getBucketEncryption();

有关获取Bucket加密配置的更多信息,请参见GetBucketEncryption

删除Bucket加密配置

以下代码用于删除Bucket加密配置:

const OSS = require("ali-oss");

const client = new OSS({
  region: "<yourRegion>",
  // 阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。
  accessKeyId: "<yourAccessKeyId>",
  accessKeySecret: "<yourAccessKeySecret>",
  bucket: "<yourBucketName>"
});

async function deleteBucketEncryption() {
  try {
    //删除Bucket的加密配置。
    let result = await store.deleteBucketEncryption("bucket-name");
    console.log(result);
  } catch (e) {
    console.log(e);
  }
}

deleteBucketEncryption();

有关删除Bucket加密配置的更多信息,请参见DeleteBucketEncryption