[New Feature]OSS支持设置Bucket 服务端默认加密方式

第一章:阿里云OSS Bucket默认加密方式介绍

  阿里云OSS支持通过API、SDK、工具以及控制台等方式设置Bucket的默认加密方式。当Bucket设置服务端加密后,具有相应权限的用户上传文件到该Bucket时,自动对这些对象进行加密。
Bucket默认加密方式适合于当前和新创建的Bucket。当使用服务端加密时,OSS在将数据保存到阿里云数据中心磁盘之前对其进行加密,并且在下载对象时自动进行解密。
  使用OSS托管密钥加密,不会产生额外的费用。但是,使用KMS密钥进行加密时,会产生KMS使用以及相关API调用的费用。OSS服务端加密方式支持设置OSS托管密钥(SSE-OSS)、KMS托管密钥(SSE-KMS)以及KMS的BYOK密钥。

目前该功能已经在美东Region进行公测。如需进行测试,请联系阿里云技术支持或者工单咨询。

第二章:如何为Bucket设置服务端加密方式

2.1使用OSS控制台设置Bucket默认加密方式

  当用户创建Bucket时,可以设置Bucket默认加密方式。针对已经存在的Bucket,用户可以在“基础设置”中修改Bucket的默认加密方式。
  具体设置步骤如下
1.登录OSS控制台,选择需要设置的Bucket。切换至“基础设置”页面;
2.选择“服务端加密”,如下所示:
[New Feature]OSS支持设置Bucket 服务端默认加密方式

3.目前服务端加密方式有如下3种:

  • :不设置Bucket默认加密方式。若用户没有在PUT object请求标头中设置对象的加密方式,默认该对象以明文的方式存在OSS集群;
  • AES256:使用阿里云OSS默认托管的密钥进行加密;
  • KMS:KMS有2种加密方式:

    • 1.alias/acs/oss:这是由OSS托管在KMS服务的密钥,默认所有的用户都可以使用OSS托管的KMS密钥进行加密;
    • 2.CMK ID:支持用户使用指定的KMS密钥进行加密;

2.1.1相关操作授权

说明:针对OSS的每个操作均需要取得授权。如下是主要步骤的RAM 授权;
1.STEP1:设置Bucket默认加密方式
需要具有"Put Bucket Encryption"以及"Get Bucket Encryption"权限;

  • 默认根账号以及具有“AliyunOSSFullAccess”、“AdministratorAccess”权限的账号默认具有如上2个权限;
  • 若使用子账号登录控制台,则需要RAM Policy给当前用户授予如上2个权限;

2.STEP2:选择服务端加密合适的密钥

  • 由于AES256、以及OSS托管的KMS密钥的所有权限是属于阿里云OSS服务。因此,用户无需授权就可以使用AES256以及OSS托管的KMS密钥进行加解密操作;
  • 若用户使用指定的CMK ID进行加密。那么,当前进行操作的子账号必须具备“ListKeys”、“Listalias”、“ListAliasesByKeyId”以及“DescribeKeys”。具体RAM policy策略如下:
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:DescribeKey"    
      ],
      "Resource": [
        "acs:kms:*:1416614965936597:*"
      ]
    }
  ]
}

[New Feature]OSS支持设置Bucket 服务端默认加密方式

说明:如上策略允许用户查看当前reigon下所有合适的CMK ID ,但是仅支持选择1个KMS 密钥;

3.STEP3:子账号上传文件至指定的Bucket
  当配置Bucket 服务端默认加密方式后。用户上传文件到该Bucket的对象,将采用Bucket的默认服务端加密方式进行加密,除非用户在上传文件时特别设置了该对象的加密方式。
  Bucket的服务端加密方式设置为AES256或者默认OSS托管的KMS密钥(alias/acs/oss),任何具有上传权限的对象都可以将对象上传至该Bucket,并且采用该Bucket的默认加密方式。若服务端的加密方式为KMS,并且使用了指定的CMK ID。那么用户上传对象至该Bucket时,需要具有对应CMK ID的加密权限。否则该对象因为没有权限调用KMS加密权限,而导致上传失败。如下是给子账号设置具有对应CMKID加密权限的RAM policy示例:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "acs:kms:*:1416614965936597:*"   //当前示例表示允许调用该账号下所有的KMS密钥,如果仅限制使用某个KMS,此处可输入对应的CMK ID
      ]
    }
  ]
}

4.STEP4:子账号从Bucket中下载加密的对象
  当设置了Bucket默认服务端加密方式后,上传到该Bucket的对象默认都会进行服务端加密。可以授权子账号从该Bucket下载对象。若Bucket的服务端加密方式是AES256以及OSS默认托管的KMS密钥(该密钥别名是alias/acs/oss),此时具有下载权限的用户都可以从该Bucket下载对象。OSS会自动对加密的对象进行解密,并且将明文对象返回给用户。

  若该Bucket设置了使用指定KMS的密钥进行加密,那么下载该Bucket内对象的用户除了需要具备get object权限外,还需要具有指定KMS密钥对应的解密权限。若该子账号仅具有get object权限,而没有对应KMS的解密权限(decrypt权限),那么用户下载文件时也会提示下载失败。阿里云OSS不会将加密后的密文对象直接返回给用户。如下是给子账号设置具有KMS解密权限的RAM policy:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
    "kms:Decrypt"
      ],
      "Resource": [
        "acs:kms:*:1416614965936597:*"//该示例表示子账号具有当前所有KMS的解密权限。若要针对某个KMS密钥进行解密,此处可输入对应的CMK ID
      ]
    }
  ]
}

说明:下载使用了指定KMS密钥加密的对象是需要额外配置相关KMS权限。所以,当您的AK被泄露后,您可以通过禁用KMS或者修改kms相关policy,已拒绝所有用户对该Bucket的请求。

2.2使用REST API方式设置Bucket默认加密方式

如下,您也可以使用API方式设置Bucket 服务端默认加密方式:

  • 使用 PUT Bucket Encryption 接口设置Bucket的默认服务端加密方式(AES256或者KMS);
  • 使用 DELETE Bucket Encryption接口禁止对象的默认加密。禁用默认加密后,OSS仅在PUT请求包含加密信息时加密对象
  • 使用GET Bucket Encryption接口查看该Bucket的默认加密方式;

2.3使用工具设置Bucket默认加密方式

  当前还不支持SDK以及工具方式设置Bucket 默认加密方式,预计2019年上半年支持该特性。

上一篇:MacOSX安装OpenCC实现繁体字转简体字


下一篇:在Maven项目中运行JUnit 5测试用例