OSS文档1

简介:

 

 

OSS 对象存储

 

用于单独存储文件视频音频类等文件

 

上传方式:

• 普通上传: 单文件普通上传
• 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
• 追加上传: 流文件上传,如视频监控,追加到之前已上传文件后

 

跨区域复制 备份容灾机制

 

---

 

存储Bucket选项

 

存储类型:

• 标准存储: 适合频繁访问,有热点存在的各类音视频,图片,网站静态资源的存储.
• 低频存储: 适合长期保存,较少访问的数据,如各类移动应用,智能设备,企业数据的备份.
• 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.

 

读写权限:

• 私有
• 公共读
• 公共读写

 

Bucket设置可以设定私有或加密方式等

 

---

 

域名绑定

建立Bucket可以配置该Bucket的域名

 

 

绑定域名 如 www.implements.fun 后

 

 

---

 

Bucket基础设置

 

访问权限:

服务器端加密:

传输加速 (收费)

跨区域复制 (同步文件到另一个Bucket) 如下

 

参数	说明
源Bucket地域	显示您当前Bucket所在地域。
源Bucket	显示您当前Bucket名称。
目标地域	选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域，同地域的存储空间之间不能进行数据同步。
目标Bucket	选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其他任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B，则A和B都不能和其他任何Bucket再建立数据同步关系。
数据同步对象	选择需要同步的源数据。 全部文件进行同步：将该Bucket内所有的文件同步到目标存储空间。 指定文件名前缀进行同步：将该Bucket内指定前缀的文件同步到目标Bucket。例如，您的Bucket根目录有一个文件夹management，management下有个文件夹abc，您需要同步abc文件夹里的内容，则填写management/abc。您最多可以添加5个前缀。
数据同步策略	选择数据同步的方式。 写同步（增/改）：仅将该Bucket内新增和更新的数据同步到目标存储空间。 增/删/改 同步：将该Bucket的所有数据，包括新增、更新、删除操作同步到目标存储空间。
同步历史数据	选择是否同步设置跨区域复制前Bucket已有的历史数据。 同步：将历史数据同步至目标Bucket。 注意 历史数据同步时，从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象，复制之前请确保数据的一致性。 不同步：仅同步设置跨区域复制后上传或更新的文件。

 

同城冗余存储:  https://help.aliyun.com/document_detail/90589.html?spm=5176.8466029.zrs.1.175d1450r4Zt1n

OSS的同城冗余存储能够提供机房级容灾能力。当断网、断电或者发生灾难事件导致某个机房不可用时，仍然能够确保继续提供强一致性的服务能力，整个故障切换过程用户无感知，业务不中断、数据不丢失，可以满足关键业务系统对于“恢复时间目标（RTO）”以及“恢复点目标（RPO）”等于0的强需求。

 

静态页面配置

 

防盗链

 

js跨域设置

 

生命周期

 

请求者付费模式

 

回源设置 (类似断路器,请求不到一个,从回源规则获取请求预备的数据)

 

---

 

图片处理:

 

图片处理可以将同一源图片进行样式修改(如亮度,对比度)但不多于生成文件,可以通过图片样式参数看到不同样式的同一图片

 

---

 

其余还有:

事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计

 

---

 

SDK

 

OSS Java SDK 3.8.0

 

OSS Java SDK API 文档

 

示例代码

 

OSS Java SDK 提供丰富的示例代码,方便直接使用.

 

• 快速入门,创建Bucket
• 简单上传中的创建文件夹
• 追加上传
• 断点续传上传
• 分片上传
• 进度条
• 上传回调
• 上传时进行CRC校验
• 下载文件
• 断点续传下载
• 文件元信息
• 列举文件
• 拷贝文件
• 删除文件
• 设置存储空间的授权访问,生命周期,访问日志,防盗链,CORS等
• 图片处理
• PostObject, 该实现不依赖于Java SDK
• 并发下载文件,推荐使用断点续传下载
• 设置上传,下载文件时的单链接限速
• 存储空间的请求者付费模式

 

---

 

SDK相关对象实例

 

OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您需要初始化一个OSSClient实例.

并根据需要修改ClientConfiguration的默认配置项

 

 

OSS Java SDK有多种文件上传方式

在OSS中,操作的基本数据单元是文件(Object). OSS Java SDK提供了以下几种文件上传方式:

• 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
• 表单上传: 最大不能超过5GB.
• 追加上传: 最大不能超过5GB.
• 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
• 分片上传: 当文件较大时,可以使用分片上传,最大不能超过48.8TB.

上传过程中,您可以设置文件元信息, 也可以通过进度条功能查看上传进度. 上传完成后,您还可以进行上传回调.

 

 

管理文件:

可以通过一系列的接口管理存储空间(Bucket)下的文件(Object)

 

---

 

阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 

您可以通过本文档提供的简单的REST接口,在任何时间,任何地点,任何互联网设备上进行上传和下载数据.

基于OSS,您可以搭建出各种多媒体分享网站,网盘,个人和企业数据备份等基于大规模数据的服务.

 

使用限制

 

本文介绍对象存储OSS的一些使用限制及性能指标

OSS的使用限制及性能指标如下:

 

限制项	说明
归档存储	已经存储的数据从冷冻状态恢复到可读取状态需要1分钟的等待时间.
存储空间(bucket)	同一阿里云账号在同一地域内创建的存储空间总数不能超过30个. 存储空间一旦创建成功,其名称,所处地域,存储类型不能修改. 单个存储空间的容量不限制.
上传/下载文件	通过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式. 断点续传方式上传的文件大小不能超过48.8TB. 同一账号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其他地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s) OSS支持上传同名文件,但会覆盖已有文件.
删除文件	文件删除后无法恢复 控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现.
域名绑定	账号必须在阿里云官网完成实名认证 中国大陆地域绑定的域名必须工信部备案 每个存储空间最多可以绑定100个域名;一个域名只能绑定在一个存储空间上;每个账号可绑定的域名个数无限制.
生命周期	每个存储空间最多可配置1000条生命周期规则
图片处理	图片限制: 原图 图片格式只能是: jpg,png,bmp,gif,webp,tiff. 文件大小不能超过20MB. 使用图片旋转时图片的宽或者高不能超过4096px. 原图单边大小不能超过30000px. 缩略后的图 宽与高的乘积不能超过4096px*4096px 单边长度不能超过4096px. 样式限制 每个存储空间下最多能创建50个样式 如超过 请联系售后技术支持
资源包	地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用. 不支持更换地域. 存储包和外网流出流量包不支持叠加购买,您无法在同地域同时段购买两个相同存储包或外网流出流量包,但您可以对已购存储包和外网流出流量包进行升级. CDN回源流量包支持叠加购买,但不支持升级和续费. 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成

 

---

 

安全白皮书

本文介绍如何通过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.

加密:

OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.

• 服务器端加密

OSS通过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.

例如,深度学习样本文件的存储,在线协作类文档数据的存储.

 

服务器端加密

OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,然后

再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的

HTTP请求Header中,声明该数据进行了服务器端加密.

 

注意: 服务器端加密无法对镜像回源保存的数据进行自动加密

 

针对不同的应用场景,OSS有如下三种服务器端加密方式:

• 使用OSS默认托管的KMS密钥 (SSE-KMS)

您可以将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID，也可以在上传Object或修改Object的meta信息时，在请求中携带X-OSS-server-side-encryption并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不同的密钥来加密不同的对象，并且在下载时自动解密。

• 使用BYOK进行加密 (SSE-KMS BYOK)

服务器端加密支持使用BYOK进行加密，您可以将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID，也可以在上传Object或修改Object的meta信息时，在请求中携带X-OSS-server-side-encryption，指定其值为KMS，并指定X-OSS-server-side-encryption-key-id为具体的CMK ID。OSS将使用指定的CMK生成不同的密钥来加密不同的对象，并将加密Object的CMK ID记录到对象的元数据中，因此具有解密权限的用户下载对象时会自动解密。

 

 

• 使用OSS完全托管加密 (SSE-OSS)

基于OSS完全托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每个对象,并为每个对象使用不同的密钥进行加密.

作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密.

 

客户端加密

    客户端加密是指将数据发送到OSS之前在用户本地进行加密,对于数据加密密钥的使用,目前支持如下两种方式

• 使用KMS托管用户主密钥

当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,

只需要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工作原理如下所示

 

• 数据传输加密

OSS支持通过HTTP或HTTPS的方式访问,但您可以在Bucket Policy中设置仅允许通过HTTPS(TLS)来访问OSS资源.

安全传输层协议(TLS) 用于在两个通信应用程序之间提供保密性和数据完整性.

 

访问控制

OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy

 

主要资源术语

 

中文	英文	说明
存储空间	Bucket	存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间.
对象/文件	Object	对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部唯一的Key来标识.
地域	Region	地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region。
访问域名	Endpoint	Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不同地域的时候，需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint。
访问密钥	AccessKey	AccessKey，简称 AK，指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户，AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，其中AccessKeySecret 必须保密。

 

---

 

API概览

在service中可见

 

 

生命周期

本文介绍如何管理生命周期

OSS支持设置生命周期(Lifecycle)规则,自动删除过期的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:

• 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
• 策略. 有以下两种设置方式. 同一存储空间内仅支持一种设置方式.

            -- 按前缀匹配. 此种方式允许创建多条规则, 前缀不能重复.

            -- 配置到整个存储空间, 此种方式只能创建一条规则.

• 过期时间, 有两种指定方式:

            -- 指定一个过期天数N,文件会在其最近更新时间点的N天后过期.

            -- 指定一个过期时间点,最近更新时间在该时间点之前的文件全部过期.

• 是否生效.

 

 

---

 

防盗链

本文介绍如何使用防盗链.

为了防止您在OSS上的数据被其他人盗链而产生额外费用,您可以设置防盗链功能,包括以下参数:

• Referer白名单. 仅允许指定的域名访问OSS资源.
• 是否允许空Referer.如果不允许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.

 

---

 

访问日志

您可以开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中

 

---

 

静态网站托管

 

您可以将存储空间配置成静态网站托管模式. 配置生效后访问网站相当于访问存储空间,并且能够自动跳转至指定的索引页面和错误页面

所谓静态网站是指所有的网页都由静态内容构成，包括客户端执行的脚本，例如 JavaScript。OSS 不支持涉及到需要服务器端处理的内容，例如 PHP，JSP，ASP.NET等。

如果您想使用自己的域名来访问基于 Bucket 的静态网站，可以通过绑定自定义域名来实现。

将一个 Bucket 设置成静态网站托管模式时：

索引页面是必须指定的，错误页面是可选的。

指定的索引页面和错误页面必须是该 Bucket 内的 Object。

 

---

 

跨区域复制

 

跨区域复制是在不同OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操作)同步到目标存储空间中.

该功能用于满足异地容灾和数据复制的需求.

 

进度

跨区域复制进度分为历史数据同步进度和实时数据同步进度.

• 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
• 实时数据同步进度用新写入数据的时间点表示,代表做个时间点之前的数据已同步完成

---

 

跨域资源共享

 

本文介绍如何进行跨域资源共享.

跨域资源共享(Cross-origin resource sharing ,简称CORS)允许Web端的应用程序访问不属于本域的资源.

OSS提供跨域资源共享接口,方便您控制跨域访问的权限.

 

Access-Control-Request-Headers

 

 

Header type	Request header
Forbidden header name	yes

 

语法:

Access-Control-Request-Headers: <header-name>, <header-name>, ...

<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。

例子:

Access-Control-Request-Headers: X-PINGOTHER, Content-Type

 

 

 

Access-Control-Expost-Headers

默认情况下,只有六种 simple response headers 简单响应首部 可以暴露给外部:

• Cache-Control
• Content-Language
• Content-Type
• Expires
• Last-Modified
• Pragma

 

 

 

---

 

 

简介:

 

 

OSS 对象存储

 

用于单独存储文件视频音频类等文件

 

上传方式:

• 普通上传: 单文件普通上传
• 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
• 追加上传: 流文件上传,如视频监控,追加到之前已上传文件后

 

跨区域复制 备份容灾机制

 

---

 

存储Bucket选项

 

存储类型:

• 标准存储: 适合频繁访问,有热点存在的各类音视频,图片,网站静态资源的存储.
• 低频存储: 适合长期保存,较少访问的数据,如各类移动应用,智能设备,企业数据的备份.
• 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.

 

读写权限:

• 私有
• 公共读
• 公共读写

 

Bucket设置可以设定私有或加密方式等

 

---

 

域名绑定

建立Bucket可以配置该Bucket的域名

 

 

绑定域名 如 www.implements.fun 后

 

 

---

 

Bucket基础设置

 

访问权限:

服务器端加密:

传输加速 (收费)

跨区域复制 (同步文件到另一个Bucket) 如下

 

参数	说明
源Bucket地域	显示您当前Bucket所在地域。
源Bucket	显示您当前Bucket名称。
目标地域	选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域，同地域的存储空间之间不能进行数据同步。
目标Bucket	选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其他任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B，则A和B都不能和其他任何Bucket再建立数据同步关系。
数据同步对象	选择需要同步的源数据。 全部文件进行同步：将该Bucket内所有的文件同步到目标存储空间。 指定文件名前缀进行同步：将该Bucket内指定前缀的文件同步到目标Bucket。例如，您的Bucket根目录有一个文件夹management，management下有个文件夹abc，您需要同步abc文件夹里的内容，则填写management/abc。您最多可以添加5个前缀。
数据同步策略	选择数据同步的方式。 写同步（增/改）：仅将该Bucket内新增和更新的数据同步到目标存储空间。 增/删/改 同步：将该Bucket的所有数据，包括新增、更新、删除操作同步到目标存储空间。
同步历史数据	选择是否同步设置跨区域复制前Bucket已有的历史数据。 同步：将历史数据同步至目标Bucket。 注意 历史数据同步时，从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象，复制之前请确保数据的一致性。 不同步：仅同步设置跨区域复制后上传或更新的文件。

 

同城冗余存储:  https://help.aliyun.com/document_detail/90589.html?spm=5176.8466029.zrs.1.175d1450r4Zt1n

OSS的同城冗余存储能够提供机房级容灾能力。当断网、断电或者发生灾难事件导致某个机房不可用时，仍然能够确保继续提供强一致性的服务能力，整个故障切换过程用户无感知，业务不中断、数据不丢失，可以满足关键业务系统对于“恢复时间目标（RTO）”以及“恢复点目标（RPO）”等于0的强需求。

 

静态页面配置

 

防盗链

 

js跨域设置

 

生命周期

 

请求者付费模式

 

回源设置 (类似断路器,请求不到一个,从回源规则获取请求预备的数据)

 

---

 

图片处理:

 

图片处理可以将同一源图片进行样式修改(如亮度,对比度)但不多于生成文件,可以通过图片样式参数看到不同样式的同一图片

 

---

 

其余还有:

事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计

 

---

 

SDK

 

OSS Java SDK 3.8.0

 

OSS Java SDK API 文档

 

示例代码

 

OSS Java SDK 提供丰富的示例代码,方便直接使用.

 

• 快速入门,创建Bucket
• 简单上传中的创建文件夹
• 追加上传
• 断点续传上传
• 分片上传
• 进度条
• 上传回调
• 上传时进行CRC校验
• 下载文件
• 断点续传下载
• 文件元信息
• 列举文件
• 拷贝文件
• 删除文件
• 设置存储空间的授权访问,生命周期,访问日志,防盗链,CORS等
• 图片处理
• PostObject, 该实现不依赖于Java SDK
• 并发下载文件,推荐使用断点续传下载
• 设置上传,下载文件时的单链接限速
• 存储空间的请求者付费模式

 

---

 

SDK相关对象实例

 

OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您需要初始化一个OSSClient实例.

并根据需要修改ClientConfiguration的默认配置项

 

 

OSS Java SDK有多种文件上传方式

在OSS中,操作的基本数据单元是文件(Object). OSS Java SDK提供了以下几种文件上传方式:

• 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
• 表单上传: 最大不能超过5GB.
• 追加上传: 最大不能超过5GB.
• 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
• 分片上传: 当文件较大时,可以使用分片上传,最大不能超过48.8TB.

上传过程中,您可以设置文件元信息, 也可以通过进度条功能查看上传进度. 上传完成后,您还可以进行上传回调.

 

 

管理文件:

可以通过一系列的接口管理存储空间(Bucket)下的文件(Object)

 

---

 

阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 

您可以通过本文档提供的简单的REST接口,在任何时间,任何地点,任何互联网设备上进行上传和下载数据.

基于OSS,您可以搭建出各种多媒体分享网站,网盘,个人和企业数据备份等基于大规模数据的服务.

 

使用限制

 

本文介绍对象存储OSS的一些使用限制及性能指标

OSS的使用限制及性能指标如下:

 

限制项	说明
归档存储	已经存储的数据从冷冻状态恢复到可读取状态需要1分钟的等待时间.
存储空间(bucket)	同一阿里云账号在同一地域内创建的存储空间总数不能超过30个. 存储空间一旦创建成功,其名称,所处地域,存储类型不能修改. 单个存储空间的容量不限制.
上传/下载文件	通过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式. 断点续传方式上传的文件大小不能超过48.8TB. 同一账号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其他地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s) OSS支持上传同名文件,但会覆盖已有文件.
删除文件	文件删除后无法恢复 控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现.
域名绑定	账号必须在阿里云官网完成实名认证 中国大陆地域绑定的域名必须工信部备案 每个存储空间最多可以绑定100个域名;一个域名只能绑定在一个存储空间上;每个账号可绑定的域名个数无限制.
生命周期	每个存储空间最多可配置1000条生命周期规则
图片处理	图片限制: 原图 图片格式只能是: jpg,png,bmp,gif,webp,tiff. 文件大小不能超过20MB. 使用图片旋转时图片的宽或者高不能超过4096px. 原图单边大小不能超过30000px. 缩略后的图 宽与高的乘积不能超过4096px*4096px 单边长度不能超过4096px. 样式限制 每个存储空间下最多能创建50个样式 如超过 请联系售后技术支持
资源包	地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用. 不支持更换地域. 存储包和外网流出流量包不支持叠加购买,您无法在同地域同时段购买两个相同存储包或外网流出流量包,但您可以对已购存储包和外网流出流量包进行升级. CDN回源流量包支持叠加购买,但不支持升级和续费. 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成

 

---

 

安全白皮书

本文介绍如何通过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.

加密:

OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.

• 服务器端加密

OSS通过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.

例如,深度学习样本文件的存储,在线协作类文档数据的存储.

 

服务器端加密

OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,然后

再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的

HTTP请求Header中,声明该数据进行了服务器端加密.

 

注意: 服务器端加密无法对镜像回源保存的数据进行自动加密

 

针对不同的应用场景,OSS有如下三种服务器端加密方式:

• 使用OSS默认托管的KMS密钥 (SSE-KMS)

您可以将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID，也可以在上传Object或修改Object的meta信息时，在请求中携带X-OSS-server-side-encryption并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不同的密钥来加密不同的对象，并且在下载时自动解密。

• 使用BYOK进行加密 (SSE-KMS BYOK)

服务器端加密支持使用BYOK进行加密，您可以将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID，也可以在上传Object或修改Object的meta信息时，在请求中携带X-OSS-server-side-encryption，指定其值为KMS，并指定X-OSS-server-side-encryption-key-id为具体的CMK ID。OSS将使用指定的CMK生成不同的密钥来加密不同的对象，并将加密Object的CMK ID记录到对象的元数据中，因此具有解密权限的用户下载对象时会自动解密。

 

 

• 使用OSS完全托管加密 (SSE-OSS)

基于OSS完全托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每个对象,并为每个对象使用不同的密钥进行加密.

作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密.

 

客户端加密

    客户端加密是指将数据发送到OSS之前在用户本地进行加密,对于数据加密密钥的使用,目前支持如下两种方式

• 使用KMS托管用户主密钥

当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,

只需要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工作原理如下所示

 

• 数据传输加密

OSS支持通过HTTP或HTTPS的方式访问,但您可以在Bucket Policy中设置仅允许通过HTTPS(TLS)来访问OSS资源.

安全传输层协议(TLS) 用于在两个通信应用程序之间提供保密性和数据完整性.

 

访问控制

OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy

 

主要资源术语

 

中文	英文	说明
存储空间	Bucket	存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间.
对象/文件	Object	对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部唯一的Key来标识.
地域	Region	地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region。
访问域名	Endpoint	Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不同地域的时候，需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint。
访问密钥	AccessKey	AccessKey，简称 AK，指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户，AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，其中AccessKeySecret 必须保密。

 

---

 

API概览

在service中可见

 

 

生命周期

本文介绍如何管理生命周期

OSS支持设置生命周期(Lifecycle)规则,自动删除过期的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:

• 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
• 策略. 有以下两种设置方式. 同一存储空间内仅支持一种设置方式.

            -- 按前缀匹配. 此种方式允许创建多条规则, 前缀不能重复.

            -- 配置到整个存储空间, 此种方式只能创建一条规则.

• 过期时间, 有两种指定方式:

            -- 指定一个过期天数N,文件会在其最近更新时间点的N天后过期.

            -- 指定一个过期时间点,最近更新时间在该时间点之前的文件全部过期.

• 是否生效.

 

 

---

 

防盗链

本文介绍如何使用防盗链.

为了防止您在OSS上的数据被其他人盗链而产生额外费用,您可以设置防盗链功能,包括以下参数:

• Referer白名单. 仅允许指定的域名访问OSS资源.
• 是否允许空Referer.如果不允许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.

 

---

 

访问日志

您可以开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中

 

---

 

静态网站托管

 

您可以将存储空间配置成静态网站托管模式. 配置生效后访问网站相当于访问存储空间,并且能够自动跳转至指定的索引页面和错误页面

所谓静态网站是指所有的网页都由静态内容构成，包括客户端执行的脚本，例如 JavaScript。OSS 不支持涉及到需要服务器端处理的内容，例如 PHP，JSP，ASP.NET等。

如果您想使用自己的域名来访问基于 Bucket 的静态网站，可以通过绑定自定义域名来实现。

将一个 Bucket 设置成静态网站托管模式时：

索引页面是必须指定的，错误页面是可选的。

指定的索引页面和错误页面必须是该 Bucket 内的 Object。

 

---

 

跨区域复制

 

跨区域复制是在不同OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操作)同步到目标存储空间中.

该功能用于满足异地容灾和数据复制的需求.

 

进度

跨区域复制进度分为历史数据同步进度和实时数据同步进度.

• 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
• 实时数据同步进度用新写入数据的时间点表示,代表做个时间点之前的数据已同步完成

---

 

跨域资源共享

 

本文介绍如何进行跨域资源共享.

跨域资源共享(Cross-origin resource sharing ,简称CORS)允许Web端的应用程序访问不属于本域的资源.

OSS提供跨域资源共享接口,方便您控制跨域访问的权限.

 

Access-Control-Request-Headers

 

 

Header type	Request header
Forbidden header name	yes

 

语法:

Access-Control-Request-Headers: <header-name>, <header-name>, ...

<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。

例子:

Access-Control-Request-Headers: X-PINGOTHER, Content-Type

 

 

 

Access-Control-Expost-Headers

默认情况下,只有六种 simple response headers 简单响应首部 可以暴露给外部:

• Cache-Control
• Content-Language
• Content-Type
• Expires
• Last-Modified
• Pragma

 

 

 

---