对象存储 OSS：Python服务器端加密

背景信息

OSS有如下两种服务器端加密方式：

• 使用OSS托管的CMK进行加密（SSE-KMS）
  上传文件时，可以使用指定的CMK ID或者OSS托管的CMK进行加密操作。数据无需通过网络发送到KMS服务端进行加解密，是一种低成本的加解密方式。

  重要 使用KMS密钥功能时会产生少量的KMS密钥API调用费用。
• 使用OSS完全托管加密（SSE-OSS）

  上传文件时，OSS服务端使用完全托管的AES256进行加密操作。OSS会为每个对象使用不同的密钥进行加密，作为额外的保护，它将使用定期轮转的主密钥对加密密钥本身进行加密。

注意事项

• 本文以华东1（杭州）外网Endpoint为例。如果您希望通过与OSS同地域的其他阿里云产品访问OSS，请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系，请参见访问域名和数据中心。
• 本文以OSS域名新建OSSClient为例。如果您希望通过自定义域名、STS等方式新建OSSClient，请参见Python初始化。
• 要配置Bucket加密，您必须具有oss:PutBucketEncryption权限；要获取Bucket加密配置，您必须具有oss:GetBucketEncryption权限；要删除Bucket加密配置，您必须具有oss:DeleteBucketEncryption权限。具体操作，请参见为RAM用户授权自定义的权限策略。

配置Bucket加密

您可以通过以下代码设置Bucket默认加密方式，设置成功之后，所有上传至该Bucket但未设置加密方式的Object都会使用Bucket默认加密方式进行加密：

# -*- coding: utf-8 -*-
import oss2
from oss2.models import ServerSideEncryptionRule
# 阿里云账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维，请登录RAM控制台创建RAM用户。
auth = oss2.Auth('yourAccessKeyId', 'yourAccessKeySecret')
# yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
# 填写Bucket名称，例如examplebucket。
bucket = oss2.Bucket(auth, 'https://oss-cn-hangzhou.aliyuncs.com', 'examplebucket')

# 创建Bucket加密配置，以AES256加密为例。
rule = ServerSideEncryptionRule()
rule.sse_algorithm = oss2.SERVER_SIDE_ENCRYPTION_AES256
# 设置KMS密钥ID，加密方式为KMS可设置此项。如需使用指定的密钥加密，需输入指定的CMK ID；若使用OSS托管的CMK进行加密，此项为空。使用AES256进行加密时，此项必须为空。
rule.kms_master_keyid = ""

# 设置Bucket加密。
result = bucket.put_bucket_encryption(rule)

# 查看HTTP返回码。
print('http response code:', result.status)

获取Bucket加密配置

以下代码用于获取Bucket加密配置：

# -*- coding: utf-8 -*-
import oss2
# 阿里云账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维，请登录RAM控制台创建RAM用户。
auth = oss2.Auth('yourAccessKeyId', 'yourAccessKeySecret')
# yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
# 填写Bucket名称，例如examplebucket。
bucket = oss2.Bucket(auth, 'https://oss-cn-hangzhou.aliyuncs.com', 'examplebucket')

# 获取Bucket加密配置。
result = bucket.get_bucket_encryption()
# 打印获取到的加密配置。
print('sse_algorithm:', result.sse_algorithm)
print('kms_master_keyid:', result.kms_master_keyid) #如果Bucket加密方式为AES256，那么kms_master_keyid为None。

删除Bucket加密配置

以下代码用于删除Bucket加密配置：

# -*- coding: utf-8 -*-
import oss2
# 阿里云账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维，请登录RAM控制台创建RAM用户。
auth = oss2.Auth('yourAccessKeyId', 'yourAccessKeySecret')
# yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
# 填写Bucket名称，例如examplebucket。
bucket = oss2.Bucket(auth, 'https://oss-cn-hangzhou.aliyuncs.com', 'examplebucket')

# 删除Bucket加密配置。
result = bucket.delete_bucket_encryption()
# 查看HTTP返回码。
print('http status:', result.status)

相关文档

• 关于服务器端加密的完整示例代码，请参见GitHub示例。
• 关于设置服务器端加密的API接口说明，请参见PutBucketEncryption。
• 关于获取服务器端加密配置的API接口说明，请参见GetBucketEncryption。
• 关于删除服务器端加密配置的API接口说明，请参见DeleteBucketEncryption。