背景概述

媒體存儲服務的服務端加密功能可以幫助客戶實現數據的安全保護，為客戶提供更加可靠和安全的數據存儲服務。

SSE-XOS（Server Side Encryption XOS）是完全由媒體存儲托管加密的服務端加密特性，客戶無需管理密鑰，服務端會為每個對象使用不同的密鑰進行加密，并且會有一個定期輪換的密鑰來加密密鑰本身，該方式適用于批量數據加解密。

適用區域

本功能目前僅部分資源池支持，具體可參考：資源池與區域節點。

如需使用，可聯系客戶經理或提交工單申請。

應用效果

服務端加密功能是一種數據安全保障措施，它可以在數據上傳至對象存儲服務時就對其進行加密，以防止數據被未經授權的訪問，降低數據泄露的風險。

通過使用服務端加密，您可以將數據傳輸至媒體存儲服務，服務端會在接收到數據后立即對其進行加密處理，然后再將加密后的數據存儲在云端。

未經授權的人訪問了存儲在云端的數據，他們也無法讀取被加密的數據內容。

批量數據加密

當企業需要對大量的數據統一進行加密，您可以使用媒體存儲的SSE-XOS設置桶級別的加密配置，使得上傳到該桶的對象數據自動被加密從而達到批量數據加密，實現批量數據加密的效果。

操作步驟如下：

調用設置存儲桶加密配置接口，為存儲桶指定一種加密算法：

PUT/{bucket}?encryption HTTP/1.1
Host:cname.domain.com
Content-MD5:ContentMD5
<ServerSideEncryptionConfiguration?xmlns="//s3.amazonaws.com/doc/2006-03-01/">
???<Rule>
??????<ApplyServerSideEncryptionByDefault>
?????????<SSEAlgorithm>AES256</SSEAlgorithm>
??????</ApplyServerSideEncryptionByDefault>
???</Rule>
</ServerSideEncryptionConfiguration>

設置了桶的默認加密屬性之后，用戶往該桶上傳對象成功后會在響應中返回以下header表示對象數據經過加密：

單獨對象加密

當企業需要靈活指定被加密的對象，用戶可以在上傳對象請求中通過指定以下header來完成一次上傳對象數據的加密操作。

上傳對象成功后在響應中返回以下header表示對象數據經過加密：