解析數據傳輸加密方式有哪些「數據傳輸加密的三種方式」

加密

OSS提供伺服器端加密、客戶端加密以及數據傳輸加密三種數據加密方式。

伺服器端加密

OSS通過伺服器端加密機制，提供靜態數據保護。適合於對於文件存儲有高安全性或者合規性要求的應用場景。例如，深度學習樣本文件的存儲、在線協作類文檔數據的存儲。

說明：有關伺服器端加密原理的更多信息，請參考原理介紹。

針對不同的應用場景，OSS有如下三種伺服器端加密方式：

使用OSS默認託管的KMS密鑰（SSE-KMS）

您可以將Bucket默認的伺服器端加密方式設置為KMS且不指定具體的CMK ID，也可以在上傳Object或修改Object的meta信息時，在請求中攜帶
X-OSS-server-side-encryption並指定其值為KMS且不指定具體的CMK ID。OSS將使用默認託管的CMK生成不同的密鑰來加密不同的對象，並且在下載時自動解密。

使用BYOK進行加密（SSE-KMS BYOK）

伺服器端加密支持使用BYOK進行加密，您可以將Bucket默認的伺服器端加密方式設置為KMS並指定具體的CMK ID，也可以在上傳Object或修改Object的meta信息時，在請求中攜帶
X-OSS-server-side-encryption，指定其值為KMS，並指定X-OSS-server-side-encryption-key-id為具體的CMK ID。OSS將使用指定的CMK生成不同的密鑰來加密不同的對象，並將加密Object的CMK ID記錄到對象的元數據中，因此具有解密許可權的用戶下載對象時會自動解密。

使用OSS完全託管加密（SSE-OSS）

基於OSS完全託管的加密方式，是Object的一種屬性。OSS伺服器端加密使用AES256加密每個對象，並為每個對象使用不同的密鑰進行加密，作為額外的保護，它將使用定期輪轉的主密鑰對加密密鑰本身進行加密。

客戶端加密

客戶端加密是指將數據發送到OSS之前在用戶本地進行加密，對於數據加密密鑰的使用，目前支持如下兩種方式：

使用KMS託管用戶主密鑰

當使用KMS託管用戶主密鑰用於客戶端數據加密時，無需向OSS加密客戶端提供任何加密密鑰。只需要在上傳對象時指定KMS用戶主密鑰ID（也就是CMK ID）。其具體工作原理如下圖所示。

使用用戶自主管理密鑰

使用用戶自主管理密鑰，需要用戶自主生成並保管加密密鑰。當用戶本地客戶端加密時，由用戶自主上傳加密密鑰（對稱加密密鑰或者非對稱加密密鑰）至本地加密客戶端。其具體加密過程如下圖所示。

數據傳輸加密

OSS支持通過HTTP或HTTPS的方式訪問，但您可以在Bucket Policy中設置僅允許通過HTTPS（TLS）來訪問OSS資源。安全傳輸層協議（TLS）用於在兩個通信應用程序之間提供保密性和數據完整性。

訪問控制

OSS提供了多種許可權控制方式，包括ACL、RAM Policy和Bucket Policy。

ACL：OSS為許可權控制提供訪問控制列表（ACL）。ACL是基於資源的授權策略，可授予Bucket和Object訪問許可權。您可以在創建Bucket或上傳Object時設置ACL，也可以在創建Bucket或上傳Object後的任意時間內修改ACL。
RAM
Policy：RAM（Resource Access Management）是阿里雲提供的資源訪問控制服務。RAM
Policy是基於用戶的授權策略。通過設置RAM
Policy，您可以集中管理您的用戶（比如員工、系統或應用程序），以及控制用戶可以訪問您名下哪些資源的許可權。比如能夠限制您的用戶只擁有對某一個
Bucket 的讀許可權。子賬號是從屬於主賬號的，並且這些賬號下不能擁有實際的任何資源，所有資源都屬於主賬號。
Bucket
Policy：Bucket Policy是基於資源的授權策略。相比於RAM Policy，Bucket
Policy操作簡單，支持在控制台直接進行圖形化配置，並且Bucket擁有者直接可以進行訪問授權，無需具備RAM操作許可權。Bucket
Policy支持向其他賬號的RAM用戶授予訪問許可權，以及向匿名用戶授予帶特定IP條件限制的訪問許可權。

日誌與監控

OSS提供訪問日誌存儲及實時日誌查詢服務，便於您從多個維度來對日誌進行細化跟蹤。此外，OSS提供的監控服務，幫助您更好的了解OSS服務的運行狀態並進行自主診斷和故障排除。

訪問日誌查詢

您在訪問OSS的過程中，會產生大量的訪問日誌。日誌存儲功能，可將OSS的訪問日誌，以小時為單位，按照固定的命名規則，生成一個Object寫入您指定的Bucket（目標 Bucket，Target Bucket）。您可以使用阿里雲DataLakeAnalytics或搭建Spark集群等方式對這些日誌文件進行分析。同時，您可以配置目標Bucket的生命周期管理規則，將這些日誌文件轉成歸檔存儲，長期歸檔保存。有關OSS訪問日誌的更多信息，請參考訪問日誌存儲。

實時日誌查詢

實時日誌查詢功能將OSS與日誌服務（LOG）相結合，允許您在OSS控制台直接查詢OSS訪問日誌，幫助您完成OSS訪問的操作審計、訪問統計、異常事件回溯和問題定位等工作，提升您的工作效率並更好地幫助您基於數據進行決策。有關實時日誌查詢的更多信息，請參考實時日誌查詢。

監控服務

OSS監控服務為您提供系統基本運行狀態、性能以及計量等方面的監控數據指標，並且提供自定義報警服務，幫助您跟蹤請求、分析使用情況、統計業務趨勢，及時發現以及診斷系統的相關問題。有關監控服務的更多信息，請參考監控服務概覽。

數據保護

OSS提供合規保留策略、同城冗餘存儲及版本控制等特性來保障OSS的數據安全性。

合規保留策略

OSS現已全面支持WORM（一次寫入，多次讀取）特性，允許用戶以「不可刪除、不可篡改」方式保存和使用數據。

OSS提供強合規策略，用戶可針對存儲空間（Bucket）設置基於時間的合規保留策略。當策略鎖定後，用戶可以在Bucket中上傳和讀取文件（Object），但是在Object的保留時間到期之前，任何用戶都無法刪除Object和策略。Object的保留時間到期後，才可以刪除Object。OSS支持的WORM特性，適用於金融、保險、醫療、證券等行業。您可以基於OSS搭建「雲上數據合規存儲空間」。

有關合規保留策略的更多信息，請參考合規保留策略。