简介:
 
 
OSS 对象存储
 
用于单独存储文件视频音频类等文件
 
上传方式:
  • 普通上传: 单文件普通上传
  • 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
  • 追加上传: 流文件上传,如视频监控,追加到之前已上传文件后
 
跨区域复制 备份容灾机制
 

 
存储Bucket选项
 
存储类型:
  • 标准存储: 适合频繁访问,有热点存在的各类音视频,图片,网站静态资源的存储.
  • 低频存储: 适合长期保存,较少访问的数据,如各类移动应用,智能设备,企业数据的备份.
  • 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.
 
读写权限:
  • 私有
  • 公共读
  • 公共读写
 
Bucket设置可以设定私有或加密方式等
 

 
域名绑定
建立Bucket可以配置该Bucket的域名
 
 
绑定域名 如 www.implements.fun 后
 
 

 
Bucket基础设置
 
访问权限:
服务器端加密:
传输加速 (收费)
跨区域复制 (同步文件到另一个Bucket) 如下
 
参数
说明
源Bucket地域
显示您当前Bucket所在地域。
源Bucket
显示您当前Bucket名称。
目标地域
选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域,同地域的存储空间之间不能进行数据同步。
目标Bucket
选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其他任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B,则A和B都不能和其他任何Bucket再建立数据同步关系。
数据同步对象
选择需要同步的源数据。
全部文件进行同步:将该Bucket内所有的文件同步到目标存储空间。
指定文件名前缀进行同步:将该Bucket内指定前缀的文件同步到目标Bucket。例如,您的Bucket根目录有一个文件夹management,management下有个文件夹abc,您需要同步abc文件夹里的内容,则填写management/abc。您最多可以添加5个前缀。
数据同步策略
选择数据同步的方式。
写同步(增/改):仅将该Bucket内新增和更新的数据同步到目标存储空间。
增/删/改 同步:将该Bucket的所有数据,包括新增、更新、删除操作同步到目标存储空间。
同步历史数据
选择是否同步设置跨区域复制前Bucket已有的历史数据。
同步:将历史数据同步至目标Bucket。
注意 历史数据同步时,从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象,复制之前请确保数据的一致性。
不同步:仅同步设置跨区域复制后上传或更新的文件。
 
OSS的同城冗余存储能够提供机房级容灾能力。当断网、断电或者发生灾难事件导致某个机房不可用时,仍然能够确保继续提供强一致性的服务能力,整个故障切换过程用户无感知,业务不中断、数据不丢失,可以满足关键业务系统对于“恢复时间目标(RTO)”以及“恢复点目标(RPO)”等于0的强需求。
 
静态页面配置
 
防盗链
 
js跨域设置
 
生命周期
 
请求者付费模式
 
回源设置 (类似断路器,请求不到一个,从回源规则获取请求预备的数据)
 

 
图片处理:
 
图片处理可以将同一源图片进行样式修改(如亮度,对比度)但不多于生成文件,可以通过图片样式参数看到不同样式的同一图片
 

 
其余还有:
事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计
 

 
SDK
 
OSS Java SDK 3.8.0
 
 
示例代码
 
OSS Java SDK 提供丰富的示例代码,方便直接使用.
 
  • 快速入门,创建Bucket
  • 简单上传中的创建文件夹
  • 追加上传
  • 断点续传上传
  • 分片上传
  • 进度条
  • 上传回调
  • 上传时进行CRC校验
  • 下载文件
  • 断点续传下载
  • 文件元信息
  • 列举文件
  • 拷贝文件
  • 删除文件
  • 设置存储空间的授权访问,生命周期,访问日志,防盗链,CORS等
  • 图片处理
  • PostObject, 该实现不依赖于Java SDK
  • 并发下载文件,推荐使用断点续传下载
  • 设置上传,下载文件时的单链接限速
  • 存储空间的请求者付费模式
 

 
SDK相关对象实例
 
OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您需要初始化一个OSSClient实例.
并根据需要修改ClientConfiguration的默认配置项
 
 
OSS Java SDK有多种文件上传方式
在OSS中,操作的基本数据单元是文件(Object). OSS Java SDK提供了以下几种文件上传方式:
  • 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
  • 表单上传: 最大不能超过5GB.
  • 追加上传: 最大不能超过5GB.
  • 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
  • 分片上传: 当文件较大时,可以使用分片上传,最大不能超过48.8TB.
上传过程中,您可以设置文件元信息, 也可以通过进度条功能查看上传进度. 上传完成后,您还可以进行上传回调.
 
 
管理文件:
可以通过一系列的接口管理存储空间(Bucket)下的文件(Object)
 

 
阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 
您可以通过本文档提供的简单的REST接口,在任何时间,任何地点,任何互联网设备上进行上传和下载数据.
基于OSS,您可以搭建出各种多媒体分享网站,网盘,个人和企业数据备份等基于大规模数据的服务.
 
使用限制
 
本文介绍对象存储OSS的一些使用限制及性能指标
OSS的使用限制及性能指标如下:
 
限制项
说明
归档存储
已经存储的数据从冷冻状态恢复到可读取状态需要1分钟的等待时间.
存储空间(bucket)
  • 同一阿里云账号在同一地域内创建的存储空间总数不能超过30个.
  • 存储空间一旦创建成功,其名称,所处地域,存储类型不能修改.
  • 单个存储空间的容量不限制.
上传/下载文件
  • 通过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式.
  • 断点续传方式上传的文件大小不能超过48.8TB.
  • 同一账号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其他地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s)
  • OSS支持上传同名文件,但会覆盖已有文件.
删除文件
  • 文件删除后无法恢复
  • 控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现.
域名绑定
  • 账号必须在阿里云官网完成实名认证
  • 中国大陆地域绑定的域名必须工信部备案
  • 每个存储空间最多可以绑定100个域名;一个域名只能绑定在一个存储空间上;每个账号可绑定的域名个数无限制.
生命周期
每个存储空间最多可配置1000条生命周期规则
图片处理
图片限制:
  • 原图
  • 图片格式只能是: jpg,png,bmp,gif,webp,tiff.
  • 文件大小不能超过20MB.
  • 使用图片旋转时图片的宽或者高不能超过4096px.
  • 原图单边大小不能超过30000px.
  • 缩略后的图
  • 宽与高的乘积不能超过4096px*4096px
  • 单边长度不能超过4096px.
  • 样式限制
  • 每个存储空间下最多能创建50个样式 如超过 请联系售后技术支持
资源包
  • 地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用.
  • 不支持更换地域.
  • 存储包和外网流出流量包不支持叠加购买,您无法在同地域同时段购买两个相同存储包或外网流出流量包,但您可以对已购存储包和外网流出流量包进行升级.
  • CDN回源流量包支持叠加购买,但不支持升级和续费.
  • 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成
 

 
安全白皮书
本文介绍如何通过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.
加密:
OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.
  • 服务器端加密
OSS通过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.
例如,深度学习样本文件的存储,在线协作类文档数据的存储.
 
服务器端加密
OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,然后
再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的
HTTP请求Header中,声明该数据进行了服务器端加密.
 
注意: 服务器端加密无法对镜像回源保存的数据进行自动加密
 
针对不同的应用场景,OSS有如下三种服务器端加密方式:
  • 使用OSS默认托管的KMS密钥 (SSE-KMS)
您可以将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID,也可以在上传Object或修改Object的meta信息时,在请求中携带X-OSS-server-side-encryption并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不同的密钥来加密不同的对象,并且在下载时自动解密。
  • 使用BYOK进行加密 (SSE-KMS BYOK)
服务器端加密支持使用BYOK进行加密,您可以将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID,也可以在上传Object或修改Object的meta信息时,在请求中携带X-OSS-server-side-encryption,指定其值为KMS,并指定X-OSS-server-side-encryption-key-id为具体的CMK ID。OSS将使用指定的CMK生成不同的密钥来加密不同的对象,并将加密Object的CMK ID记录到对象的元数据中,因此具有解密权限的用户下载对象时会自动解密。
 
 
  • 使用OSS完全托管加密 (SSE-OSS)
基于OSS完全托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每个对象,并为每个对象使用不同的密钥进行加密.
作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密.
 
客户端加密
    客户端加密是指将数据发送到OSS之前在用户本地进行加密,对于数据加密密钥的使用,目前支持如下两种方式
  • 使用KMS托管用户主密钥
当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,
只需要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工作原理如下所示
 
  • 数据传输加密
OSS支持通过HTTP或HTTPS的方式访问,但您可以在Bucket Policy中设置仅允许通过HTTPS(TLS)来访问OSS资源.
安全传输层协议(TLS) 用于在两个通信应用程序之间提供保密性和数据完整性.
 
访问控制
OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy
 
主要资源术语
 
中文
英文
说明
存储空间
Bucket
存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间.
对象/文件
Object
对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部唯一的Key来标识.
地域
Region
 
地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region
访问域名
Endpoint
Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务,当访问不同地域的时候,需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint
访问密钥
AccessKey
AccessKey,简称 AK,指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户,AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,其中AccessKeySecret 必须保密。
 

 
API概览
在service中可见
 
 
生命周期
本文介绍如何管理生命周期
OSS支持设置生命周期(Lifecycle)规则,自动删除过期的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:
  • 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
  • 策略. 有以下两种设置方式. 同一存储空间内仅支持一种设置方式.
            -- 按前缀匹配. 此种方式允许创建多条规则, 前缀不能重复.
            -- 配置到整个存储空间, 此种方式只能创建一条规则.
  • 过期时间, 有两种指定方式:
            -- 指定一个过期天数N,文件会在其最近更新时间点的N天后过期.
            -- 指定一个过期时间点,最近更新时间在该时间点之前的文件全部过期.
  • 是否生效.
 
 

 
防盗链
本文介绍如何使用防盗链.
为了防止您在OSS上的数据被其他人盗链而产生额外费用,您可以设置防盗链功能,包括以下参数:
  • Referer白名单. 仅允许指定的域名访问OSS资源.
  • 是否允许空Referer.如果不允许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.
 

 
访问日志
您可以开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中
 

 
静态网站托管
 
您可以将存储空间配置成静态网站托管模式. 配置生效后访问网站相当于访问存储空间,并且能够自动跳转至指定的索引页面和错误页面
所谓静态网站是指所有的网页都由静态内容构成,包括客户端执行的脚本,例如 JavaScript。OSS 不支持涉及到需要服务器端处理的内容,例如 PHP,JSP,ASP.NET等。
如果您想使用自己的域名来访问基于 Bucket 的静态网站,可以通过绑定自定义域名来实现。
将一个 Bucket 设置成静态网站托管模式时:
索引页面是必须指定的,错误页面是可选的。
指定的索引页面和错误页面必须是该 Bucket 内的 Object。
 

 
跨区域复制
 
跨区域复制是在不同OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操作)同步到目标存储空间中.
该功能用于满足异地容灾和数据复制的需求.
 
进度
跨区域复制进度分为历史数据同步进度和实时数据同步进度.
  • 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
  • 实时数据同步进度用新写入数据的时间点表示,代表做个时间点之前的数据已同步完成

 
跨域资源共享
 
本文介绍如何进行跨域资源共享.
跨域资源共享(Cross-origin resource sharing ,简称CORS)允许Web端的应用程序访问不属于本域的资源.
OSS提供跨域资源共享接口,方便您控制跨域访问的权限.
 
Access-Control-Request-Headers
 
 
Header type
Request header
Forbidden header name
yes
 
语法:
Access-Control-Request-Headers: <header-name>, <header-name>, ...
<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。
例子:
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
 
 
 
Access-Control-Expost-Headers
默认情况下,只有六种 simple response headers 简单响应首部 可以暴露给外部:
  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma
 
 
 

 
 
简介:
 
 
OSS 对象存储
 
用于单独存储文件视频音频类等文件
 
上传方式:
  • 普通上传: 单文件普通上传
  • 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
  • 追加上传: 流文件上传,如视频监控,追加到之前已上传文件后
 
跨区域复制 备份容灾机制
 

 
存储Bucket选项
 
存储类型:
  • 标准存储: 适合频繁访问,有热点存在的各类音视频,图片,网站静态资源的存储.
  • 低频存储: 适合长期保存,较少访问的数据,如各类移动应用,智能设备,企业数据的备份.
  • 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.
 
读写权限:
  • 私有
  • 公共读
  • 公共读写
 
Bucket设置可以设定私有或加密方式等
 

 
域名绑定
建立Bucket可以配置该Bucket的域名
 
 
绑定域名 如 www.implements.fun 后
 
 

 
Bucket基础设置
 
访问权限:
服务器端加密:
传输加速 (收费)
跨区域复制 (同步文件到另一个Bucket) 如下
 
参数
说明
源Bucket地域
显示您当前Bucket所在地域。
源Bucket
显示您当前Bucket名称。
目标地域
选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域,同地域的存储空间之间不能进行数据同步。
目标Bucket
选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其他任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B,则A和B都不能和其他任何Bucket再建立数据同步关系。
数据同步对象
选择需要同步的源数据。
全部文件进行同步:将该Bucket内所有的文件同步到目标存储空间。
指定文件名前缀进行同步:将该Bucket内指定前缀的文件同步到目标Bucket。例如,您的Bucket根目录有一个文件夹management,management下有个文件夹abc,您需要同步abc文件夹里的内容,则填写management/abc。您最多可以添加5个前缀。
数据同步策略
选择数据同步的方式。
写同步(增/改):仅将该Bucket内新增和更新的数据同步到目标存储空间。
增/删/改 同步:将该Bucket的所有数据,包括新增、更新、删除操作同步到目标存储空间。
同步历史数据
选择是否同步设置跨区域复制前Bucket已有的历史数据。
同步:将历史数据同步至目标Bucket。
注意 历史数据同步时,从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象,复制之前请确保数据的一致性。
不同步:仅同步设置跨区域复制后上传或更新的文件。
 
OSS的同城冗余存储能够提供机房级容灾能力。当断网、断电或者发生灾难事件导致某个机房不可用时,仍然能够确保继续提供强一致性的服务能力,整个故障切换过程用户无感知,业务不中断、数据不丢失,可以满足关键业务系统对于“恢复时间目标(RTO)”以及“恢复点目标(RPO)”等于0的强需求。
 
静态页面配置
 
防盗链
 
js跨域设置
 
生命周期
 
请求者付费模式
 
回源设置 (类似断路器,请求不到一个,从回源规则获取请求预备的数据)
 

 
图片处理:
 
图片处理可以将同一源图片进行样式修改(如亮度,对比度)但不多于生成文件,可以通过图片样式参数看到不同样式的同一图片
 

 
其余还有:
事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计
 

 
SDK
 
OSS Java SDK 3.8.0
 
 
示例代码
 
OSS Java SDK 提供丰富的示例代码,方便直接使用.
 
  • 快速入门,创建Bucket
  • 简单上传中的创建文件夹
  • 追加上传
  • 断点续传上传
  • 分片上传
  • 进度条
  • 上传回调
  • 上传时进行CRC校验
  • 下载文件
  • 断点续传下载
  • 文件元信息
  • 列举文件
  • 拷贝文件
  • 删除文件
  • 设置存储空间的授权访问,生命周期,访问日志,防盗链,CORS等
  • 图片处理
  • PostObject, 该实现不依赖于Java SDK
  • 并发下载文件,推荐使用断点续传下载
  • 设置上传,下载文件时的单链接限速
  • 存储空间的请求者付费模式
 

 
SDK相关对象实例
 
OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您需要初始化一个OSSClient实例.
并根据需要修改ClientConfiguration的默认配置项
 
 
OSS Java SDK有多种文件上传方式
在OSS中,操作的基本数据单元是文件(Object). OSS Java SDK提供了以下几种文件上传方式:
  • 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
  • 表单上传: 最大不能超过5GB.
  • 追加上传: 最大不能超过5GB.
  • 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
  • 分片上传: 当文件较大时,可以使用分片上传,最大不能超过48.8TB.
上传过程中,您可以设置文件元信息, 也可以通过进度条功能查看上传进度. 上传完成后,您还可以进行上传回调.
 
 
管理文件:
可以通过一系列的接口管理存储空间(Bucket)下的文件(Object)
 

 
阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 
您可以通过本文档提供的简单的REST接口,在任何时间,任何地点,任何互联网设备上进行上传和下载数据.
基于OSS,您可以搭建出各种多媒体分享网站,网盘,个人和企业数据备份等基于大规模数据的服务.
 
使用限制
 
本文介绍对象存储OSS的一些使用限制及性能指标
OSS的使用限制及性能指标如下:
 
限制项
说明
归档存储
已经存储的数据从冷冻状态恢复到可读取状态需要1分钟的等待时间.
存储空间(bucket)
  • 同一阿里云账号在同一地域内创建的存储空间总数不能超过30个.
  • 存储空间一旦创建成功,其名称,所处地域,存储类型不能修改.
  • 单个存储空间的容量不限制.
上传/下载文件
  • 通过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式.
  • 断点续传方式上传的文件大小不能超过48.8TB.
  • 同一账号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其他地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s)
  • OSS支持上传同名文件,但会覆盖已有文件.
删除文件
  • 文件删除后无法恢复
  • 控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现.
域名绑定
  • 账号必须在阿里云官网完成实名认证
  • 中国大陆地域绑定的域名必须工信部备案
  • 每个存储空间最多可以绑定100个域名;一个域名只能绑定在一个存储空间上;每个账号可绑定的域名个数无限制.
生命周期
每个存储空间最多可配置1000条生命周期规则
图片处理
图片限制:
  • 原图
  • 图片格式只能是: jpg,png,bmp,gif,webp,tiff.
  • 文件大小不能超过20MB.
  • 使用图片旋转时图片的宽或者高不能超过4096px.
  • 原图单边大小不能超过30000px.
  • 缩略后的图
  • 宽与高的乘积不能超过4096px*4096px
  • 单边长度不能超过4096px.
  • 样式限制
  • 每个存储空间下最多能创建50个样式 如超过 请联系售后技术支持
资源包
  • 地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用.
  • 不支持更换地域.
  • 存储包和外网流出流量包不支持叠加购买,您无法在同地域同时段购买两个相同存储包或外网流出流量包,但您可以对已购存储包和外网流出流量包进行升级.
  • CDN回源流量包支持叠加购买,但不支持升级和续费.
  • 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成
 

 
安全白皮书
本文介绍如何通过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.
加密:
OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.
  • 服务器端加密
OSS通过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.
例如,深度学习样本文件的存储,在线协作类文档数据的存储.
 
服务器端加密
OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,然后
再将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的
HTTP请求Header中,声明该数据进行了服务器端加密.
 
注意: 服务器端加密无法对镜像回源保存的数据进行自动加密
 
针对不同的应用场景,OSS有如下三种服务器端加密方式:
  • 使用OSS默认托管的KMS密钥 (SSE-KMS)
您可以将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID,也可以在上传Object或修改Object的meta信息时,在请求中携带X-OSS-server-side-encryption并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不同的密钥来加密不同的对象,并且在下载时自动解密。
  • 使用BYOK进行加密 (SSE-KMS BYOK)
服务器端加密支持使用BYOK进行加密,您可以将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID,也可以在上传Object或修改Object的meta信息时,在请求中携带X-OSS-server-side-encryption,指定其值为KMS,并指定X-OSS-server-side-encryption-key-id为具体的CMK ID。OSS将使用指定的CMK生成不同的密钥来加密不同的对象,并将加密Object的CMK ID记录到对象的元数据中,因此具有解密权限的用户下载对象时会自动解密。
 
 
  • 使用OSS完全托管加密 (SSE-OSS)
基于OSS完全托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每个对象,并为每个对象使用不同的密钥进行加密.
作为额外的保护,它将使用定期轮转的主密钥对加密密钥本身进行加密.
 
客户端加密
    客户端加密是指将数据发送到OSS之前在用户本地进行加密,对于数据加密密钥的使用,目前支持如下两种方式
  • 使用KMS托管用户主密钥
当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,
只需要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工作原理如下所示
 
  • 数据传输加密
OSS支持通过HTTP或HTTPS的方式访问,但您可以在Bucket Policy中设置仅允许通过HTTPS(TLS)来访问OSS资源.
安全传输层协议(TLS) 用于在两个通信应用程序之间提供保密性和数据完整性.
 
访问控制
OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy
 
主要资源术语
 
中文
英文
说明
存储空间
Bucket
存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间.
对象/文件
Object
对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部唯一的Key来标识.
地域
Region
 
地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region
访问域名
Endpoint
Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务,当访问不同地域的时候,需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint
访问密钥
AccessKey
AccessKey,简称 AK,指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户,AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,其中AccessKeySecret 必须保密。
 

 
API概览
在service中可见
 
 
生命周期
本文介绍如何管理生命周期
OSS支持设置生命周期(Lifecycle)规则,自动删除过期的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:
  • 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
  • 策略. 有以下两种设置方式. 同一存储空间内仅支持一种设置方式.
            -- 按前缀匹配. 此种方式允许创建多条规则, 前缀不能重复.
            -- 配置到整个存储空间, 此种方式只能创建一条规则.
  • 过期时间, 有两种指定方式:
            -- 指定一个过期天数N,文件会在其最近更新时间点的N天后过期.
            -- 指定一个过期时间点,最近更新时间在该时间点之前的文件全部过期.
  • 是否生效.
 
 

 
防盗链
本文介绍如何使用防盗链.
为了防止您在OSS上的数据被其他人盗链而产生额外费用,您可以设置防盗链功能,包括以下参数:
  • Referer白名单. 仅允许指定的域名访问OSS资源.
  • 是否允许空Referer.如果不允许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.
 

 
访问日志
您可以开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中
 

 
静态网站托管
 
您可以将存储空间配置成静态网站托管模式. 配置生效后访问网站相当于访问存储空间,并且能够自动跳转至指定的索引页面和错误页面
所谓静态网站是指所有的网页都由静态内容构成,包括客户端执行的脚本,例如 JavaScript。OSS 不支持涉及到需要服务器端处理的内容,例如 PHP,JSP,ASP.NET等。
如果您想使用自己的域名来访问基于 Bucket 的静态网站,可以通过绑定自定义域名来实现。
将一个 Bucket 设置成静态网站托管模式时:
索引页面是必须指定的,错误页面是可选的。
指定的索引页面和错误页面必须是该 Bucket 内的 Object。
 

 
跨区域复制
 
跨区域复制是在不同OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操作)同步到目标存储空间中.
该功能用于满足异地容灾和数据复制的需求.
 
进度
跨区域复制进度分为历史数据同步进度和实时数据同步进度.
  • 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
  • 实时数据同步进度用新写入数据的时间点表示,代表做个时间点之前的数据已同步完成

 
跨域资源共享
 
本文介绍如何进行跨域资源共享.
跨域资源共享(Cross-origin resource sharing ,简称CORS)允许Web端的应用程序访问不属于本域的资源.
OSS提供跨域资源共享接口,方便您控制跨域访问的权限.
 
Access-Control-Request-Headers
 
 
Header type
Request header
Forbidden header name
yes
 
语法:
Access-Control-Request-Headers: <header-name>, <header-name>, ...
<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。
例子:
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
 
 
 
Access-Control-Expost-Headers
默认情况下,只有六种 simple response headers 简单响应首部 可以暴露给外部:
  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma
 
 
 

 
 

OSS文档1的更多相关文章

  1. OSS阿里云相关文档

    OSS阿里云相关文档 oss文档链接

  2. 构建微服务(Building Microservices)-PDF 文档

    闲时翻译了几篇基于Spring Cloud.Netflix OSS 构建微服务的英文文章,为方便分享交流,整理为PDF文档. PDF 文档目录: 目录 一.微服务操作模型... 3 1.     前提 ...

  3. [转]OpenContrail 体系架构文档

    OpenContrail 体系架构文档 英文原文:http://opencontrail.org/opencontrail-architecture-documentation/ 翻译者:@KkBLu ...

  4. Win7_Ultimate + VS2010 + openGL_MFC单文档应用开发框架搭建步骤

    Win7_Ultimate + VS2010 + openGL单文档应用开发框架搭建步骤 上一个配置是基于OpenGL的开发工具配置的,下面就是基于Vs2010的MFC单文档应用开发. 通过网上查找资 ...

  5. linux音频alsa-uda134x驱动文档阅读之一转自http://blog.csdn.net/wantianpei/article/details/7817293

    前言 目前,linux系统常用的音频驱动有两种形式:alsa oss alsa:现在是linux下音频驱动的主要形式,与简单的oss兼容.oss:过去的形式而我们板子上的uda1341用的就是alsa ...

  6. 完整的POM文档内容

    <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/20 ...

  7. coderfun-boot接私活利器,文档详实,非一般的开发速度

    项目主页:https://gitee.com/klguang/coderfun-boot 演示地址:http://106.15.195.9:8080/admin/项目文档:https://www.ka ...

  8. fastadmin学习文档

    https://doc.fastadmin.net/docs/index.html 介绍 FastAdmin是一款基于ThinkPHP5+Bootstrap的极速后台开发框架. 主要特性 基于Auth ...

  9. 《Java开发学习大纲文档》V8.0

    <Java开发学习大纲文档>V8.0 第八版是以实战作为核心,同时也包含前面所有版本的精华部分,第八版加入的部分有云开发(阿里云OSS存储.(github)gitlab+docker网站自 ...

随机推荐

  1. Linux下启动SpringBoot打包的jar

    前言 这两天把视力档案后台部署的方式改了一下,由原来打包成war包,部署到一个tomcat里面,转变成直接打包成jar包,然后使用 java -jar命令进行启动 下面讲讲遇到的问题 1)java - ...

  2. BFS(四):搜索状态判重

    在采用广度优先算法进行搜索时,一个需要重点注意的是在搜索过程中判重和去重.前面介绍的几个例子中,判重都较简单,如采用vis[]数组,若vis[i]==0,则i未访问过,i入队列:若vis[i]!=0, ...

  3. spring boot 不占用端口方式启动

    随着微服务架构的流行,想要启动一个微服务架构项目就要开启好多端口,有时候一台机器上部署的项目多的时候,端口资源就比较紧张了,其实有的微服务组件仅仅只是提供RPC服务,可以不用占用web启动的端口,此时 ...

  4. Debug 路漫漫-14:Python: AttributeError: module 'tensorflow' has no attribute 'sub'

    在调试 <Neural Factorization Machines for Sparse Predictive Analytics>论文的源码(https://github.com/he ...

  5. Debug 路漫漫-12:Python: ValueError: 'userid' is both an index level and a column label, which is ambiguous.

    啊,又遇到难题了 == 想要对两个 dataframe 做自然连接 merge,连接的key 为 “userid”,但是报错:ValueError: 'userid' is both an index ...

  6. 1.go语言入门

    1.Go语言中文网,选择相应版本(32位或64位)下载 https://studygolang.com/dl, 2.解压到一个任意文件夹 3.配置环境变量 cmd命令行输入go version查看当前 ...

  7. python threading ThreadPoolExecutor

    线程池,为什么要使用线程池:1. 线程中可以获取某一个线程的状态或者某一个任务的状态,以及返回值2. 当一个线程完成的时候我们主线程能立即知道3. futures可以让多线程和多进程编码接口一致 获取 ...

  8. DVWA-文件包含学习笔记

    DVWA-文件包含学习笔记 一.文件包含与漏洞 文件包含: 开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含. 文件包含漏洞: 开发人 ...

  9. Eclipse 常用快捷键-java

    (转自https://www.runoob.com/w3cnote/eclipse-shortcut-keys.html) Eclipse有强大的编辑功能, 工欲善其事,必先利其器, 掌握Eclips ...

  10. python——Tkinter图形化界面及threading多线程

    Tkinter模块("Tk 接口")是Python的标准Tk GUI工具包的接口.Tk和Tkinter可以在大多数的Unix平台下使用,同样可以应用在Windows和Macinto ...