tencent cloud

Cloud Object Storage

동향 및 공지
릴리스 노트
제품 공지
제품 소개
제품 개요
기능 개요
적용 시나리오
제품 장점
기본 개념
리전 및 액세스 도메인
규격 및 제한
제품 요금
과금 개요
과금 방식
과금 항목
프리 티어
과금 예시
청구서 보기 및 다운로드
연체 안내
FAQ
빠른 시작
콘솔 시작하기
COSBrowser 시작하기
사용자 가이드
요청 생성
버킷
객체
데이터 관리
일괄 프로세스
글로벌 가속
모니터링 및 알람
운영 센터
데이터 처리
스마트 툴 박스 사용 가이드
데이터 워크플로
애플리케이션 통합
툴 가이드
툴 개요
환경 설치 및 설정
COSBrowser 툴
COSCLI 툴
COSCMD 툴
COS Migration 툴
FTP Server 툴
Hadoop 툴
COSDistCp 툴
HDFS TO COS 툴
온라인 도구 (Onrain Dogu)
자가 진단 도구
실습 튜토리얼
개요
액세스 제어 및 권한 관리
성능 최적화
AWS S3 SDK를 사용하여 COS에 액세스하기
데이터 재해 복구 백업
도메인 관리 사례
이미지 처리 사례
COS 오디오/비디오 플레이어 사례
데이터 다이렉트 업로드
데이터 보안
데이터 검증
빅 데이터 사례
COS 비용 최적화 솔루션
3rd party 애플리케이션에서 COS 사용
마이그레이션 가이드
로컬 데이터 COS로 마이그레이션
타사 클라우드 스토리지 데이터를 COS로 마이그레이션
URL이 소스 주소인 데이터를 COS로 마이그레이션
COS 간 데이터 마이그레이션
Hadoop 파일 시스템과 COS 간 데이터 마이그레이션
데이터 레이크 스토리지
클라우드 네이티브 데이터 레이크
메타데이터 가속
데이터 레이크 가속기 GooseFS
데이터 처리
데이터 처리 개요
이미지 처리
미디어 처리
콘텐츠 조정
파일 처리
문서 미리보기
장애 처리
RequestId 가져오기
공용 네트워크로 COS에 파일 업로드 시 속도가 느린 문제
COS 액세스 시 403 에러 코드 반환
리소스 액세스 오류
POST Object 자주 발생하는 오류
보안 및 컴플라이언스
데이터 재해 복구
데이터 보안
액세스 관리
자주 묻는 질문
인기 질문
일반 문제
과금
도메인 규정 준수 문제
버킷 설정 문제
도메인 및 CDN 문제
파일 작업 문제
로그 모니터링 문제
권한 관리
데이터 처리 문제
데이터 보안 문제
사전 서명 URL 관련 문제
SDK FAQ
툴 관련 문제
API 관련 문제
Agreements
Service Level Agreement
개인 정보 보호 정책
데이터 처리 및 보안 계약
연락처
용어집
문서Cloud Object Storage

Server-Side Encryption

포커스 모드
폰트 크기
마지막 업데이트 시간: 2024-02-04 17:20:25

Overview

This document describes how to enable server-side encryption when uploading objects. There are three types of keys that can be used for server-side encryption:
COS-managed key
Customer-provided key
KMS-managed key

Using server-side encryption with COS-managed encryption keys (SSE-COS) to protect data

With this method, your master key and data are managed by COS. COS can automatically encrypt your data when written into the IDC and automatically decrypt it when accessed. Currently, COS supports AES-256 encryption using a COS master key pair.
In this SDK, you need to configure the encryption by passing in the ServerSideEncryption parameter when calling the API.

putObject sample code

cos.putObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    Body: 'hello!',
    ServerSideEncryption: 'AES256',
}, function(err, data) {
    console.log(err || data);
});

postObject sample code

cos.postObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    FilePath: tmpFilePath, // tmpFilePath obtained when you use a mini program API such as wx.chooseImage to select the file
    ServerSideEncryption: 'AES256',
}, function(err, data) {
    console.log(err || data);
});

Using server-side encryption with customer-provided encryption keys (SSE-C) to protect data

The encryption key is provided by the customer. When you upload an object, COS will apply AES-256 encryption to your data using the customer-provided encryption key pair. In this SDK, you need to configure the encryption by passing in the SSECustomerKey parameter when calling the API.
Note:
This type of encryption requires using HTTPS requests.
customerKey: the key provided by the user; this key should be a Base64-encoded 32-byte string that contains numbers, letters, and special characters, but not Chinese characters.
If this encryption method was used when you uploaded a file (putObject), you should also use it when you perform such operations on this file as headObject (query), getObject (download), multipartInit (initialize multipart upload), multipartUpload (upload parts), and putObjectCopy (copy).

putObject sample code

cos.putObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    Body: 'hello!',
    SSECustomerAlgorithm: 'AES256',
    SSECustomerKey: 'MDEyMzQ1Njc4OUFCQ0RFRjAxMjM0NTY3ODlBQkNERUY',
    SSECustomerKeyMD5: 'U5L61r7jcwdNvT7frmUG8g==',
}, function(err, data) {
    console.log(err || data);
});

postObject sample code

cos.postObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    FilePath: tmpFilePath, // tmpFilePath obtained when you use a mini program API such as wx.chooseImage to select the file
    SSECustomerAlgorithm: 'AES256',
    SSECustomerKey: 'MDEyMzQ1Njc4OUFCQ0RFRjAxMjM0NTY3ODlBQkNERUY',
    SSECustomerKeyMD5: 'U5L61r7jcwdNvT7frmUG8g==',
}, function(err, data) {
    console.log(err || data);
});

Using server-side encryption with KMS-managed encryption keys (SSE-KMS) to protect data

SSE-KMS encryption is server-side encryption using keys managed by KMS, a Tencent Cloud security management service. KMS is designed to generate and protect your keys using third-party-certified hardware security modules (HSM). It allows you to easily create and manage keys for use in multiple applications and services, while meeting regulatory and compliance requirements. For information on how to activate KMS service, see Server-side Encryption Overview.

putObject sample code

cos.putObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    Body: 'hello!',
    ServerSideEncryption: 'cos/kms',  /* Required when you upload or copy objects (including simple upload/copy and multipart upload/copy). This header cannot be specified when you download objects */
    // SSEKMSKeyId: specifies the customer master key (CMK) of KMS. If this field is not specified, the default CMK created by COS will be used. For more information, please see "SSE-KMS Encryption".
    SSEKMSKeyId: 'xxxx', /* Enter your key. Optional. */
    // SSEContext: specifies the Base64-encoded encryption context (key-value pairs in JSON format)
    SSEContext: 'eyJhIjoiYXNkZmEiLCJiIjoiMTIzMzIxIn0=', /* Specify the encryption context (Base64 encoding required). Optional. */
}, function(err, data) {
    console.log(err || data);
});

postObject sample code

cos.postObject({
    Bucket: 'examplebucket-1250000000', /* Your bucket name. Required. */
    Region: 'COS_REGION',  /* Bucket region, such as `ap-beijing`. Required. */
    Key: '1.jpg',  /* Object key stored in the bucket (such as `1.jpg` and `a/b/test.txt`). Required. */
    FilePath: tmpFilePath, // tmpFilePath obtained when you use a mini program API such as wx.chooseImage to select the file
    ServerSideEncryption: 'cos/kms',  /* Required when you upload or copy objects (including simple upload/copy and multipart upload/copy). This header cannot be specified when you download objects */
    // SSEKMSKeyId: specifies the customer master key (CMK) of KMS. If this field is not specified, the default CMK created by COS will be used. For more information, please see "SSE-KMS Encryption".
    SSEKMSKeyId: 'xxxx', /* Enter your key. Optional. */
    // SSEContext: specifies the Base64-encoded encryption context (key-value pairs in JSON format)
    SSEContext: 'eyJhIjoiYXNkZmEiLCJiIjoiMTIzMzIxIn0=', /* Specify the encryption context (Base64 encoding required). Optional. */
}, function(err, data) {
    console.log(err || data);
});
다음 주제: 릴리스 노트

도움말 및 지원

문제 해결에 도움이 되었나요?

피드백