You need to enable JavaScript to run this app.
导航
对象存储
  • 文档首页
    • /对象存储/用户指南/数据安全/服务端加密/设置桶的服务端加密
设置桶的服务端加密
最近更新时间:2023.08.10 18:51:41首次发布时间:2023.08.10 18:51:41
我的收藏

在存储桶设置服务端加密后,在该存储桶上传文件时,如果您没有指定文件的服务端加密方式,文件会默认继承存储桶的服务端加密方式。本文介绍如何设置存储桶的服务端加密方式。

注意事项

类型注意事项

通用

  • 仅会对开启存储桶服务端加密方式之后上传的对象进行加密,不会改变开启前已有对象的服务端加密方式。修改存储桶的服务端加密方式后,仅会修改之后上传对象的服务端加密方式,不会改变修改前已有对象的服务端加密方式。

  • 仅支持为存储桶设置 SSE-KMS 和 SSE-TOS 服务端加密。

SSE-KMS

  • 首次使用 SSE-KMS 进行服务端加密,您需要开通 KMS 服务。开通 KMS 服务免费,使用 KMS 服务会收费。使用 SSE-KMS 进行服务端加密会产生 API 调用费用,创建 KMS 密钥会产生密钥托管费用。API 调用费用和密钥托管费用由 KMS 收取,更多信息,请参见 KMS 计费说明

  • SSE-KMS 仅加密对象数据而不加密对象元数据。

  • 使用 SSE-KMS 上传加密对象,您需要具备该密钥的 kms:GenerateDataKey 权限;若要下载 SSE-KMS 加密对象,您需要具备该密钥的 kms:Decrypt 权限。

  • 使用 SSE-KMS 加密的对象不支持匿名用户访问。您必须开通 KMS 服务,具备访问主密钥的权限,才能使用有效签名访问 SSE-KMS 加密的对象。

  • 仅华北2(北京)地域支持 SSE-KMS 服务端加密。关于服务端加密的详细介绍,请参见服务端加密概述

SSE-TOS仅华北2(北京)地域支持 SSE-TOS 服务端加密。关于服务端加密的详细介绍,请参见服务端加密概述

创建桶时开启服务端加密

您可以在创建存储桶时开启服务端加密。具体操作,请参见创建存储桶

创建桶后开启服务端加密

  1. 登录对象存储控制台

  2. 在左侧导航栏,单击桶列表,在桶列表页面,单击目标桶名称。

  3. 在左侧导航栏,选择安全管理 > 服务端加密

    说明

    您也可以在左侧导航栏,单击概览,在基本信息区域,单击服务端加密右侧的设置,然后在服务端加密页面设置服务端加密方式。

  4. 服务端加密页面,单击编辑,选择服务端加密方式。

    • :不加密。

    • SSE-TOS:TOS 托管密钥方式,是指文件上传后 TOS 对文件自动加密落盘存储,下载时自动解密,密钥由 TOS 托管,更多信息,请参见服务端加密

    • SSE-KMS:使用火山引擎 KMS 托管的密钥对文件进行加解密,更多信息,请参见服务端加密。选择 SSE-KMS 后,您还需要选择自定义密钥。 如果您未创建密钥,您可以前往 KMS 服务创建密钥。具体操作,请参见 KMS 快速入门

  5. 单击确定

修改桶的服务端加密

  1. 登录对象存储控制台

  2. 在左侧导航栏,单击桶列表,在桶列表页面,单击目标桶名称。

  3. 在左侧导航栏,选择安全管理 > 服务端加密

    说明

    您也可以在左侧导航栏,单击概览,在基本信息区域,单击服务端加密右侧的设置,然后在服务端加密页面设置服务端加密方式。

  4. 服务端加密页面,单击编辑,修改服务端加密方式。

    • :不加密。

    • SSE-TOS:TOS 托管密钥方式,是指文件上传后 TOS 对文件自动加密落盘存储,下载时自动解密,密钥由 TOS 托管,更多信息,请参见服务端加密

    • SSE-KMS:使用火山引擎 KMS 托管的密钥对文件进行加解密,更多信息,请参见服务端加密。选择 SSE-KMS 后,您还需要选择自定义密钥。 如果您未创建密钥,您可以前往 KMS 服务创建密钥。具体操作,请参见 KMS 快速入门

  5. 单击确定

相关操作

  • 上传文件时设置服务端加密方式
    您可以在上传文件时设置服务端加密方式。具体操作,请参见上传文件
  • 查看存储桶的服务端加密方式
    您可以在概览页面基本信息区域查看存储桶的服务端加密方式。具体操作,请参见存储桶概览