この記事では、OSS OSSは、オブジェクトストレージの暗号化、アクセス制御、ログ記録と監視、およびデータ保護を提供し、さまざまな方法を介してデータのセキュリティを保証する方法について説明します。
暗号化
OSSサーバは、暗号化、データの暗号化、およびクライアント・トランスポートの暗号化の3つのデータの暗号化を提供します。
- サーバー側の暗号化
OSSサーバ側の暗号化は、データ保護は、静的を提供します。ファイルストレージのシナリオに適した高いセキュリティやコンプライアンス要件を持っています。例えば、ストレージ、メモリの深さの調査サンプルファイル、オンラインコラボレーションクラスの文書データ。
注:サーバー側の暗号化の原理の詳細については、を参照してください。導入の原則。
異なるアプリケーション・シナリオについては、OSSサーバ側の暗号化は、次の3つの方法があります。
- OSSは、ホストされたデフォルトを使用してKMSキー(SSE-KMS)
あなたは、メタ情報をアップロードまたは変更されたオブジェクトのオブジェクトを、その指定されたときに、要求にX-OSSサーバ側暗号化を運ぶことができ、特定のCMK IDを指定しないデフォルトのサーバー側の暗号化がKMSに設定されているバケットすることができますKMSは、特定のCMKのIDを指定されていません。OSSは、デフォルトでは、CMKは異なるオブジェクトを暗号化するために、異なるキーを生成しホストされ、自動的にダウンロードするときに復号化され使用されます。
- 使用BYOKは暗号化された(SSE-KMS BYOK)
メタ情報がアップロードまたはオブジェクトのオブジェクトを変更されたときにサーバー側の暗号化は、あなたがバケツデフォルトのサーバー側の暗号化がKMSと割り当て特定CMK IDに設定されていることができ、暗号化されBYOKの使用をサポートし、あなたがリクエストでX-OSS-を運ぶことができますサーバー側の暗号化、KMSの値を割り当て、指定されたX-OSSサーバ側-暗号鍵IDコンクリートCMK ID。OSSは、CMKは異なるオブジェクトを暗号化するために異なる鍵を生成し、CMKのメタデータオブジェクトの暗号化されたオブジェクトIDを記録し、そのときに、自動的に復号許可オブジェクトで復号ユーザーがダウンロード指定しました。
- 使用OSS完全に管理暗号化(SSE-OSS)
完全に管理OSSベースの暗号化は、プロパティオブジェクトです。OSSサーバは、暗号化AES256各オブジェクトを使用して暗号化され、暗号化キー自体の定期的な回転が暗号化されますマスターキーを使用して、追加の保護として、オブジェクトごとに異なる鍵を使って暗号化されます。
- クライアントの暗号化
クライアントの暗号化手段のデータ暗号化キーを使用して、OSSへのローカルユーザーを送信する前にデータを暗号化し、現在、次の2つの方法をサポートしています。
- 使用KMSホストしているユーザーのマスターキー
すべてのOSSを提供せずに、データの暗号化のためのユーザクライアントを管理するマスターキーのKMSを使用している場合、クライアントへの暗号化キーを暗号化。あなたがオブジェクトをアップロードする際KMSユーザーのみ(すなわち、CMK ID)マスターキーのIDを指定する必要があります。以下のように彼らの作業原則があります。
- ユーザ自己管理キー
暗号化キーを維持するために、キーのユーザ自己管理、自己生成し、ユーザーのニーズを使用してください。場合は、ユーザーのローカルクライアントの暗号化、暗号化キーの独立は、ローカルクライアントを暗号化するために、ユーザ(対称暗号鍵または非対称暗号化キー)でアップロードしました。特定の暗号化手順を以下に示します。
- データ転送の暗号化
OSSは、HTTPまたはHTTPSモード経由でのアクセスをサポートしていますが、アクセスにHTTPS(TLS)によるOSSリソースをバケットポリシーを設定するだけ許可することができます。トランスポート層セキュリティ(TLS)は、2つの通信アプリケーション間のプライバシーとデータの整合性を提供するために使用されます。
アクセス制御
OSSは、ACL、RAMポリシーおよびバケットポリシーを含むアクセスコントロールのさまざまなを提供します。
- ACL:アクセス制御リスト(ACL)制御を提供する権限のためのOSS。ACLは、許可ポリシーのリソースに基づいてバケットとオブジェクトアクセスを許可することができます。作成またはバケットオブジェクトをアップロードするときにも、バケットやアップロードオブジェクトの後に任意の時間内に作成されたACLを変更することができ、ACLを設定することができます。
- RAMポリシー:RAM(資源アクセス管理)アリクラウドが提供するリソースアクセス制御サービスです。RAMポリシーは、ユーザーの認可ポリシーに基づいています。RAMポリシーを設定することで、一元あなたの(例えば、従業員、システムやアプリケーションなど)のユーザーだけでなく、ユーザーが自分の名前のリソースにアクセスすることができます制御を管理することができます。たとえば、ユーザーが唯一のバケットの1への読み取りアクセス権を持って制限することができます。サブアカウントはメインのアカウントに従属し、そして実際にメインのアカウントに属するすべてのリソースを考慮し、これらのリソースのいずれかを持つことができません。
- Bucket Policy:Bucket Policy是基于资源的授权策略。相比于RAM Policy,Bucket Policy操作简单,支持在控制台直接进行图形化配置,并且Bucket拥有者直接可以进行访问授权,无需具备RAM操作权限。Bucket Policy支持向其他账号的RAM用户授予访问权限,以及向匿名用户授予带特定IP条件限制的访问权限。
日志与监控
OSS提供访问日志存储及实时日志查询服务,便于您从多个维度来对日志进行细化跟踪。此外,OSS提供的监控服务,帮助您更好的了解OSS服务的运行状态并进行自主诊断和故障排除。
- 访问日志查询
您在访问OSS的过程中,会产生大量的访问日志。日志存储功能,可将OSS的访问日志,以小时为单位,按照固定的命名规则,生成一个Object写入您指定的Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时,您可以配置目标Bucket的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。有关OSS访问日志的更多信息,请参考访问日志存储。
- 实时日志查询
实时日志查询功能将OSS与日志服务(LOG)相结合, 允许您在OSS控制台直接查询OSS访问日志,帮助您完成OSS访问的操作审计、访问统计、异常事件回溯和问题定位等工作,提升您的工作效率并更好地帮助您基于数据进行决策。有关实时日志查询的更多信息,请参考实时日志查询。
- 监控服务
OSS监控服务为您提供系统基本运行状态、性能以及计量等方面的监控数据指标,并且提供自定义报警服务,帮助您跟踪请求、分析使用情况、统计业务趋势,及时发现以及诊断系统的相关问题。有关监控服务的更多信息,请参考监控服务概览。
数据保护
OSS提供合规保留策略、同城冗余存储及版本控制等特性来保障OSS的数据安全性。
- 合规保留策略
OSS现已全面支持WORM(一次写入,多次读取)特性,允许用户以“不可删除、不可篡改”方式保存和使用数据。
OSS提供强合规策略,用户可针对存储空间(Bucket)设置基于时间的合规保留策略。当策略锁定后,用户可以在Bucket中上传和读取文件(Object),但是在Object的保留时间到期之前,任何用户都无法删除Object和策略。Object的保留时间到期后,才可以删除Object。OSS支持的WORM特性,适用于金融、保险、医疗、证券等行业。您可以基于OSS搭建“云上数据合规存储空间”。
有关合规保留策略的更多信息,请参考合规保留策略。
- 同城冗余存储
OSS采用多可用区(AZ)机制,将用户的数据分散存放在同一地域(Region)的3个可用区。当某个可用区不可用时,仍然能够保障数据的正常访问。OSS同城冗余存储(多可用区)是基于99.9999999999%(12个9)的数据可靠性设计,并且能够提供99.995%的数据设计可用性 。
OSS的同城冗余存储能够提供机房级容灾能力。当断网、断电或者发生灾难事件导致某个机房不可用时,仍然能够确保继续提供强一致性的服务能力,整个故障切换过程用户无感知,业务不中断、数据不丢失,可以满足关键业务系统对于“恢复时间目标(RTO)”以及“恢复点目标(RPO)”等于0的强需求。
有关同城冗余存储的更多信息,请参考同城冗余存储。
- 版本控制
开启存储空间(Bucket)版本控制特性后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。通过文件(Object)的版本管理,用户在错误覆盖或者删除Object后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。
说明 版本控制特性将在近期推出,敬请期待。
版本控制应用于Bucket内的所有Object。当第一次针对Bucket开启版本控制后,该Bucket中所有的Object将在之后一直受到版本控制,并且每个版本都具有唯一的版本ID。
バケットのバージョン管理がオンになった後、それは各ファイルのバージョン履歴がカバーされます生成し、各バージョンの料金。あなたは、自動的にライフ・サイクル・ルールによって古いバージョンを削除することができます。
記事のアリ雲のオリジナルコンテンツは、許可なしに複製してはなりません。
