设置存储桶加密
简介
您可以通过对象存储控制台,对存储桶设置服务端加密,这样可以实现对新上传到该存储桶的对象默认进行加密。关于存储桶加密的详细信息,请参见 存储桶加密概述。
目前存储桶的加密方式支持 SSE-COS 加密(即由 COS 托管密钥的服务端加密)以及 SSE-KMS 加密(即由 KMS 托管密钥的服务端加密)。
关于服务端加密的介绍,请参见 服务端加密概述。
操作步骤
创建存储桶时设置加密
在创建存储桶时,可以按照下述步骤为存储桶设置加密。
-
在存储桶列表中,点击 【创建存储桶】,填入名称、地域等基础设置。
-
在 服务端加密 选项中,选择 【SSE-COS】 或 【SSE-KMS】。
-
选择 SSE-COS 时,加密算法将显示 AES256,如果启用了 SM4 算法加密功能,加密算法还将显示 SM4。
-
选择 SSE-KMS 时,加密算法的显示同上,密钥可以选择 【默认密钥】 和 【已有自定义密钥】。关于这两点的区别,请详见 服务端加密概述。
-
-
点击 【确定】。
在已创建存储桶中设置加密
若您在创建存储桶时未设置加密,您可以按照下述步骤为存储桶设置加密。
-
在存储桶列表页,找到您需要设置加密的存储桶,单击其名称,进入存储桶配置页面。
-
选择 【安全管理】>【服务端加密】,单击 【编辑】,可以修改当前存储桶的加密属性:
注意:
当选择使用用户自定义密钥时,请尽量避免禁用或删除用户自定义密钥,否则可能导致预期之外的误加密,或造成已加密对象无法解密的问题。
关于存储桶加密与上传对象时加密的问题
上传对象时加密有两种方式,一种是通过上传对象时,添加相应 header x-cos-server-side-encryption 来实现(在控制台上传对象时选择加密方式,即属于这一种),另一种是通过设置存储桶加密来实现。
这两种加密方式的优先级如下所述:
- 当未设置存储桶加密时,以上传对象时携带的 header 为主。此时可以是“不加密”,“SSE-COS”,“SSE-KMS”。
- 当设置了存储桶加密时,若上传对象时未携带相应 header(即“不加密”),此时将以存储桶加密为主,可以是“SSE-COS”或“SSE-KMS”。
- 当设置了存储桶加密时,若上传对象时携带了相应 header(即“SSE-COS”或“SSE-KMS”),此时将以 header 携带为主,无论存储桶加密设置为哪种加密类型。
选择指定的加密方式,然后单击 【保存】 即可完成存储桶加密配置。