背景概述
媒体存储服务的服务端加密功能可以帮助客户实现数据的安全保护,为客户提供更加可靠和安全的数据存储服务。
SSE-XOS(Server Side Encryption XOS)是完全由媒体存储托管加密的服务端加密特性,客户无需管理密钥,服务端会为每个对象使用不同的密钥进行加密,并且会有一个定期轮换的密钥来加密密钥本身,该方式适用于批量数据加解密。
适用区域
本功能目前仅部分资源池支持,具体可参考:资源池与区域节点。
如需使用,可联系客户经理或提交工单申请。
应用效果
服务端加密功能是一种数据安全保障措施,它可以在数据上传至对象存储服务时就对其进行加密,以防止数据被未经授权的访问,降低数据泄露的风险。
通过使用服务端加密,您可以将数据传输至媒体存储服务,服务端会在接收到数据后立即对其进行加密处理,然后再将加密后的数据存储在云端。
未经授权的人访问了存储在云端的数据,他们也无法读取被加密的数据内容。
批量数据加密
当企业需要对大量的数据统一进行加密,您可以使用媒体存储的SSE-XOS设置桶级别的加密配置,使得上传到该桶的对象数据自动被加密从而达到批量数据加密,实现批量数据加密的效果。
操作步骤如下:
调用设置存储桶加密配置接口,为存储桶指定一种加密算法:
PUT/{bucket}?encryption HTTP/1.1
Host:cname.domain.com
Content-MD5:ContentMD5
<ServerSideEncryptionConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<Rule>
<ApplyServerSideEncryptionByDefault>
<SSEAlgorithm>AES256</SSEAlgorithm>
</ApplyServerSideEncryptionByDefault>
</Rule>
</ServerSideEncryptionConfiguration>
设置了桶的默认加密属性之后,用户往该桶上传对象成功后会在响应中返回以下header表示对象数据经过加密:
| header | 值 |
|---|---|
| x-amz-server-side-encryption | AES256 |
单独对象加密
当企业需要灵活指定被加密的对象,用户可以在上传对象请求中通过指定以下header来完成一次上传对象数据的加密操作。
| header | 值 |
|---|---|
| x-amz-server-side-encryption | AES256 |
上传对象成功后在响应中返回以下header表示对象数据经过加密:
| header | 值 |
|---|---|
| x-amz-server-side-encryption | AES256 |
