OSS文档1

简介:

 

 

OSS 对象存储

 

用于单独存储文件视频音频类等文件

 

上传方式:

• 普通上传: 单文件普通上传
• 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
• 追加上传: 流文件上传,如视频监控,追加到以前已上传文件后

 

跨区域复制 备份容灾机制

 

---

 

存储Bucket选项

 

存储类型:

• 标准存储: 适合频繁访问,有热点存在的各种音视频,图片,网站静态资源的存储.
• 低频存储: 适合长期保存,较少访问的数据,如各种移动应用,智能设备,企业数据的备份.
• 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.

 

读写权限:

• 私有
• 公共读
• 公共读写

 

Bucket设置能够设定私有或加密方式等

 

---

 

域名绑定

创建Bucket能够配置该Bucket的域名

 

http://sugar-oss1.oss-cn-shanghai.aliyuncs.com/images_file/newphoto.jpg

 

绑定域名 如 www.implements.fun 后

 

  http://www.implements.fun/images_file/newphoto.jpg

 

---

 

Bucket基础设置

 

访问权限:

服务器端加密:

传输加速 (收费)

跨区域复制 (同步文件到另外一个Bucket) 以下

 

参数	说明
源Bucket地域	显示您当前Bucket所在地域。
源Bucket	显示您当前Bucket名称。
目标地域	选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域，同地域的存储空间之间不能进行数据同步。
目标Bucket	选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其余任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B，则A和B都不能和其余任何Bucket再创建数据同步关系。
数据同步对象	选择须要同步的源数据。 所有文件进行同步 ：将该Bucket内全部的文件同步到目标存储空间。 指定文件名前缀进行同步 ：将该Bucket内指定前缀的文件同步到目标Bucket。例如，您的Bucket根目录有一个文件夹 management ， management 下有个文件夹 abc ，您须要同步 abc 文件夹里的内容，则填写 management/abc 。您最多能够添加5个前缀。
数据同步策略	选择数据同步的方式。 写同步（增/改） ：仅将该Bucket内新增和更新的数据同步到目标存储空间。 增/删/改 同步 ：将该Bucket的全部数据，包括新增、更新、删除操做同步到目标存储空间。
同步历史数据	选择是否同步设置跨区域复制前Bucket已有的历史数据。 同步 ：将历史数据同步至目标Bucket。 注意   历史数据同步时，从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象，复制以前请确保数据的一致性。 不一样步 ：仅同步设置跨区域复制后上传或更新的文件。

 

同城冗余存储:  https://help.aliyun.com/document_detail/90589.html?spm=5176.8466029.zrs.1.175d1450r4Zt1n

OSS的同城冗余存储可以提供机房级容灾能力。当断网、断电或者发生灾难事件致使某个机房不可用时，仍然可以确保继续提供强一致性的服务能力，整个故障切换过程用户无感知，业务不中断、数据不丢失，能够知足关键业务系统对于“恢复时间目标（RTO）”以及“恢复点目标（RPO）”等于0的强需求。

 

静态页面配置

 

防盗链

 

js跨域设置

 

生命周期

 

请求者付费模式

 

回源设置 (相似断路器,请求不到一个,从回源规则获取请求预备的数据)

 

---

 

图片处理:

 

图片处理能够将同一源图片进行样式修改(如亮度,对比度)但很少于生成文件,能够经过图片样式参数看到不一样样式的同一图片

 

---

 

其他还有:

事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计

 

---

 

SDK

 

OSS Java SDK 3.8.0

 

OSS Java SDK API 文档

 

示例代码

 

OSS Java SDK 提供丰富的示例代码,方便直接使用.

 

• 快速入门,建立Bucket
• 简单上传中的建立文件夹
• 追加上传
• 断点续传上传
• 分片上传
• 进度条
• 上传回调
• 上传时进行CRC校验
• 下载文件
• 断点续传下载
• 文件元信息
• 列举文件
• 拷贝文件
• 删除文件
• 设置存储空间的受权访问,生命周期,访问日志,防盗链,CORS等
• 图片处理
• PostObject, 该实现不依赖于Java SDK
• 并发下载文件,推荐使用断点续传下载
• 设置上传,下载文件时的单连接限速
• 存储空间的请求者付费模式

 

---

 

SDK相关对象实例

 

OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您须要初始化一个OSSClient实例.

并根据须要修改ClientConfiguration的默认配置项

 

 

OSS Java SDK有多种文件上传方式

在OSS中,操做的基本数据单元是文件(Object). OSS Java SDK提供了如下几种文件上传方式:

• 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
• 表单上传: 最大不能超过5GB.
• 追加上传: 最大不能超过5GB.
• 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
• 分片上传: 当文件较大时,可使用分片上传,最大不能超过48.8TB.

上传过程当中,您能够设置文件元信息, 也能够经过进度条功能查看上传进度. 上传完成后,您还能够进行上传回调.

 

 

管理文件:

能够经过一系列的接口管理存储空间(Bucket)下的文件(Object)

 

---

 

阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 

您能够经过本文档提供的简单的REST接口,在任什么时候间,任何地点,任何互联网设备上进行上传和下载数据.

基于OSS,您能够搭建出各类多媒体分享网站,网盘,我的和企业数据备份等基于大规模数据的服务.

 

使用限制

 

本文介绍对象存储OSS的一些使用限制及性能指标

OSS的使用限制及性能指标以下:

 

限制项	说明
归档存储	已经存储的数据从冷冻状态恢复到可读取状态须要1分钟的等待时间.
存储空间(bucket)	同一阿里云帐号在同一地域内建立的存储空间总数不能超过30个. 存储空间一旦建立成功,其名称,所处地域,存储类型不能修改. 单个存储空间的容量不限制.
上传/下载文件	经过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式. 断点续传方式上传的文件大小不能超过48.8TB. 同一帐号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其余地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s) OSS支持上传同名文件,但会覆盖已有文件.
删除文件	文件删除后没法恢复 控制台批量删除文件的上限为1000个,更大批量的删除必须经过API或SDK实现.
域名绑定	帐号必须在阿里云官网完成实名认证 中国大陆地域绑定的域名必须工信部备案 每一个存储空间最多能够绑定100个域名;一个域名只能绑定在一个存储空间上;每一个帐号可绑定的域名个数无限制.
生命周期	每一个存储空间最多可配置1000条生命周期规则
图片处理	图片限制: 原图 图片格式只能是: jpg,png,bmp,gif,webp,tiff. 文件大小不能超过20MB. 使用图片旋转时图片的宽或者高不能超过4096px. 原图单边大小不能超过30000px. 缩略后的图 宽与高的乘积不能超过4096px*4096px 单边长度不能超过4096px. 样式限制 每一个存储空间下最多能建立50个样式 如超过 请联系售后技术支持
资源包	地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用. 不支持更换地域. 存储包和外网流出流量包不支持叠加购买,您没法在同地域同时段购买两个相同存储包或外网流出流量包,但您能够对已购存储包和外网流出流量包进行升级. CDN回源流量包支持叠加购买,但不支持升级和续费. 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成

 

---

 

安全白皮书

本文介绍如何经过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.

加密:

OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.

• 服务器端加密

OSS经过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.

例如,深度学习样本文件的存储,在线协做类文档数据的存储.

 

服务器端加密

OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,而后

再将获得的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的

HTTP请求Header中,声明该数据进行了服务器端加密.

 

注意: 服务器端加密没法对镜像回源保存的数据进行自动加密

 

针对不一样的应用场景,OSS有以下三种服务器端加密方式:

• 使用OSS默认托管的KMS密钥 (SSE-KMS)

您能够将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID，也能够在上传Object或修改Object的meta信息时，在请求中携带 X-OSS-server-side-encryption 并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不一样的密钥来加密不一样的对象，而且在下载时自动解密。

• 使用BYOK进行加密 (SSE-KMS BYOK)

服务器端加密支持使用BYOK进行加密，您能够将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID，也能够在上传Object或修改Object的meta信息时，在请求中携带 X-OSS-server-side-encryption ，指定其值为KMS，并指定 X-OSS-server-side-encryption-key-id 为具体的CMK ID。OSS将使用指定的CMK生成不一样的密钥来加密不一样的对象，并将加密Object的CMK ID记录到对象的元数据中，所以具备解密权限的用户下载对象时会自动解密。

 

 

• 使用OSS彻底托管加密 (SSE-OSS)

基于OSS彻底托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每一个对象,并为每一个对象使用不一样的密钥进行加密.

做为额外的保护,它将使用按期轮转的主密钥对加密密钥自己进行加密.

 

客户端加密

    客户端加密是指将数据发送到OSS以前在用户本地进行加密,对于数据加密密钥的使用,目前支持以下两种方式

• 使用KMS托管用户主密钥

当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,

只须要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工做原理以下所示

 

• 数据传输加密

OSS支持经过HTTP或HTTPS的方式访问,但您能够在Bucket Policy中设置仅容许经过HTTPS(TLS)来访问OSS资源.

安全传输层协议(TLS) 用于在两个通讯应用程序之间提供保密性和数据完整性.

 

访问控制

OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy

 

主要资源术语

 

中文	英文	说明
存储空间	Bucket	存储空间是您用于存储对象(Object)的容器,全部的对象都必须隶属于某个存储空间.
对象/文件	Object	对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部惟一的Key来标识.
地域	Region	地域表示 OSS 的数据中心所在物理位置。您能够根据费用、请求来源等综合选择数据存储的地域。详情请查看 OSS已经开通的Region 。
访问域名	Endpoint	Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不一样地域的时候，须要不一样的域名。经过内网和外网访问同一个地域所须要的域名也是不一样的。具体的内容请参见 各个Region对应的Endpoint 。
访问密钥	AccessKey	AccessKey，简称 AK，指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS经过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户，AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，其中AccessKeySecret 必须保密。

 

---

 

API概览

在service中可见

 

 

生命周期

本文介绍如何管理生命周期

OSS支持设置生命周期(Lifecycle)规则,自动删除过时的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:

• 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
• 策略. 有如下两种设置方式. 同一存储空间内仅支持一种设置方式.

            -- 按前缀匹配. 此种方式容许建立多条规则, 前缀不能重复.

            -- 配置到整个存储空间, 此种方式只能建立一条规则.

• 过时时间, 有两种指定方式:

            -- 指定一个过时天数N,文件会在其最近更新时间点的N天后过时.

            -- 指定一个过时时间点,最近更新时间在该时间点以前的文件所有过时.

• 是否生效.

 

 

---

 

防盗链

本文介绍如何使用防盗链.

为了防止您在OSS上的数据被其余人盗链而产生额外费用,您能够设置防盗链功能,包括如下参数:

• Referer白名单. 仅容许指定的域名访问OSS资源.
• 是否容许空Referer.若是不容许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.

 

---

 

访问日志

您能够开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中

 

---

 

静态网站托管

 

您能够将存储空间配置成静态网站托管模式. 配置生效后访问网站至关于访问存储空间,而且可以自动跳转至指定的索引页面和错误页面

所谓静态网站是指全部的网页都由静态内容构成，包括客户端执行的脚本，例如 JavaScript。OSS 不支持涉及到须要服务器端处理的内容，例如 PHP，JSP，ASP.NET等。

若是您想使用本身的域名来访问基于 Bucket 的静态网站，能够经过 绑定自定义域名 来实现。

将一个 Bucket 设置成静态网站托管模式时：

索引页面是必须指定的，错误页面是可选的。

指定的索引页面和错误页面必须是该 Bucket 内的 Object。

 

---

 

跨区域复制

 

跨区域复制是在不一样OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操做)同步到目标存储空间中.

该功能用于知足异地容灾和数据复制的需求.

 

进度

跨区域复制进度分为历史数据同步进度和实时数据同步进度.

• 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
• 实时数据同步进度用新写入数据的时间点表示,表明作个时间点以前的数据已同步完成

---

 

跨域资源共享

 

本文介绍如何进行跨域资源共享.

跨域资源共享(Cross-origin resource sharing ,简称CORS)容许Web端的应用程序访问不属于本域的资源.

OSS提供跨域资源共享接口,方便您控制跨域访问的权限.

 

Access-Control-Request-Headers

 

 

Header type	Request header
Forbidden header name	yes

 

语法:

Access-Control-Request-Headers: <header-name>, <header-name>, ...

<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。

例子:

Access-Control-Request-Headers: X-PINGOTHER, Content-Type

 

 

 

Access-Control-Expost-Headers

默认状况下,只有六种 simple response headers 简单响应首部 能够暴露给外部:

• Cache-Control
• Content-Language
• Content-Type
• Expires
• Last-Modified
• Pragma

 

 

 

---

 

 

 

简介:

 

 

OSS 对象存储

 

用于单独存储文件视频音频类等文件

 

上传方式:

• 普通上传: 单文件普通上传
• 分片上传: 文件切片后上传,完成后组合,适合大文件,弱网络
• 追加上传: 流文件上传,如视频监控,追加到以前已上传文件后

 

跨区域复制 备份容灾机制

 

---

 

存储Bucket选项

 

存储类型:

• 标准存储: 适合频繁访问,有热点存在的各种音视频,图片,网站静态资源的存储.
• 低频存储: 适合长期保存,较少访问的数据,如各种移动应用,智能设备,企业数据的备份.
• 归档存储: 适用于需长期保存的归档数据,医疗影像,科学资料,影视素材.

 

读写权限:

• 私有
• 公共读
• 公共读写

 

Bucket设置能够设定私有或加密方式等

 

---

 

域名绑定

创建Bucket能够配置该Bucket的域名

 

http://sugar-oss1.oss-cn-shanghai.aliyuncs.com/images_file/newphoto.jpg

 

绑定域名 如 www.implements.fun 后

 

  http://www.implements.fun/images_file/newphoto.jpg

 

---

 

Bucket基础设置

 

访问权限:

服务器端加密:

传输加速 (收费)

跨区域复制 (同步文件到另外一个Bucket) 以下

 

参数	说明
源Bucket地域	显示您当前Bucket所在地域。
源Bucket	显示您当前Bucket名称。
目标地域	选择目标Bucket所在地域。数据同步的两个存储空间必须分属两个地域，同地域的存储空间之间不能进行数据同步。
目标Bucket	选择开启数据同步的目标Bucket。跨区域复制的两个存储空间都不能同时与其余任何存储空间存在互相同步的关系。例如已设置Bucket A的数据同步至Bucket B，则A和B都不能和其余任何Bucket再创建数据同步关系。
数据同步对象	选择须要同步的源数据。 所有文件进行同步 ：将该Bucket内全部的文件同步到目标存储空间。 指定文件名前缀进行同步 ：将该Bucket内指定前缀的文件同步到目标Bucket。例如，您的Bucket根目录有一个文件夹 management ， management 下有个文件夹 abc ，您须要同步 abc 文件夹里的内容，则填写 management/abc 。您最多能够添加5个前缀。
数据同步策略	选择数据同步的方式。 写同步（增/改） ：仅将该Bucket内新增和更新的数据同步到目标存储空间。 增/删/改 同步 ：将该Bucket的全部数据，包括新增、更新、删除操做同步到目标存储空间。
同步历史数据	选择是否同步设置跨区域复制前Bucket已有的历史数据。 同步 ：将历史数据同步至目标Bucket。 注意   历史数据同步时，从源存储空间复制的对象可能会覆盖目标存储空间中同名的对象，复制以前请确保数据的一致性。 不一样步 ：仅同步设置跨区域复制后上传或更新的文件。

 

同城冗余存储:  https://help.aliyun.com/document_detail/90589.html?spm=5176.8466029.zrs.1.175d1450r4Zt1n

OSS的同城冗余存储可以提供机房级容灾能力。当断网、断电或者发生灾难事件致使某个机房不可用时，仍然可以确保继续提供强一致性的服务能力，整个故障切换过程用户无感知，业务不中断、数据不丢失，能够知足关键业务系统对于“恢复时间目标（RTO）”以及“恢复点目标（RPO）”等于0的强需求。

 

静态页面配置

 

防盗链

 

js跨域设置

 

生命周期

 

请求者付费模式

 

回源设置 (相似断路器,请求不到一个,从回源规则获取请求预备的数据)

 

---

 

图片处理:

 

图片处理能够将同一源图片进行样式修改(如亮度,对比度)但很少于生成文件,能够经过图片样式参数看到不一样样式的同一图片

 

---

 

其他还有:

事件通知, 函数计算, 云存储网关, 智能媒体, 日志查询, 基础数据, 热点统计, API统计, 文件访问统计

 

---

 

SDK

 

OSS Java SDK 3.8.0

 

OSS Java SDK API 文档

 

示例代码

 

OSS Java SDK 提供丰富的示例代码,方便直接使用.

 

• 快速入门,建立Bucket
• 简单上传中的建立文件夹
• 追加上传
• 断点续传上传
• 分片上传
• 进度条
• 上传回调
• 上传时进行CRC校验
• 下载文件
• 断点续传下载
• 文件元信息
• 列举文件
• 拷贝文件
• 删除文件
• 设置存储空间的受权访问,生命周期,访问日志,防盗链,CORS等
• 图片处理
• PostObject, 该实现不依赖于Java SDK
• 并发下载文件,推荐使用断点续传下载
• 设置上传,下载文件时的单连接限速
• 存储空间的请求者付费模式

 

---

 

SDK相关对象实例

 

OSSClient是OSS的Java客户端,用于管理存储空间和文件等OSS资源. 使用Java SDK发起OSS请求,您须要初始化一个OSSClient实例.

并根据须要修改ClientConfiguration的默认配置项

 

 

OSS Java SDK有多种文件上传方式

在OSS中,操做的基本数据单元是文件(Object). OSS Java SDK提供了如下几种文件上传方式:

• 简单上传: 包括流式上传和文件上传. 最大不能超过5GB.
• 表单上传: 最大不能超过5GB.
• 追加上传: 最大不能超过5GB.
• 断点续传上传: 支持并发,断点续传,自定义分片大小. 大文件上传推荐使用断点续传.最大不能超过48.8TB.
• 分片上传: 当文件较大时,可使用分片上传,最大不能超过48.8TB.

上传过程当中,您能够设置文件元信息, 也能够经过进度条功能查看上传进度. 上传完成后,您还能够进行上传回调.

 

 

管理文件:

能够经过一系列的接口管理存储空间(Bucket)下的文件(Object)

 

---

 

阿里云对象存储服务(Object Storage Service,简称OSS), 是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务. 

您能够经过本文档提供的简单的REST接口,在任什么时候间,任何地点,任何互联网设备上进行上传和下载数据.

基于OSS,您能够搭建出各类多媒体分享网站,网盘,我的和企业数据备份等基于大规模数据的服务.

 

使用限制

 

本文介绍对象存储OSS的一些使用限制及性能指标

OSS的使用限制及性能指标以下:

 

限制项	说明
归档存储	已经存储的数据从冷冻状态恢复到可读取状态须要1分钟的等待时间.
存储空间(bucket)	同一阿里云帐号在同一地域内建立的存储空间总数不能超过30个. 存储空间一旦建立成功,其名称,所处地域,存储类型不能修改. 单个存储空间的容量不限制.
上传/下载文件	经过控制台上传,简单上传,表单上传,追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式. 断点续传方式上传的文件大小不能超过48.8TB. 同一帐号在同一地域内的上传或下载的带宽缺省阙值为: 中国大陆地域10Gbit/s, 其余地域5Gbit/s. 如达到该阙值,您会收到DownloadTrafficRateLimitExceeded或UploadTrafficRateLimitExceeded错误响应.如您的业务(如大数据离线处理等)有更大的带宽需求(如10Gbit/~100Gbit/s) OSS支持上传同名文件,但会覆盖已有文件.
删除文件	文件删除后没法恢复 控制台批量删除文件的上限为1000个,更大批量的删除必须经过API或SDK实现.
域名绑定	帐号必须在阿里云官网完成实名认证 中国大陆地域绑定的域名必须工信部备案 每一个存储空间最多能够绑定100个域名;一个域名只能绑定在一个存储空间上;每一个帐号可绑定的域名个数无限制.
生命周期	每一个存储空间最多可配置1000条生命周期规则
图片处理	图片限制: 原图 图片格式只能是: jpg,png,bmp,gif,webp,tiff. 文件大小不能超过20MB. 使用图片旋转时图片的宽或者高不能超过4096px. 原图单边大小不能超过30000px. 缩略后的图 宽与高的乘积不能超过4096px*4096px 单边长度不能超过4096px. 样式限制 每一个存储空间下最多能建立50个样式 如超过 请联系售后技术支持
资源包	地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用. 不支持更换地域. 存储包和外网流出流量包不支持叠加购买,您没法在同地域同时段购买两个相同存储包或外网流出流量包,但您能够对已购存储包和外网流出流量包进行升级. CDN回源流量包支持叠加购买,但不支持升级和续费. 请求费用,数据处理费和跨区域复制流量费用暂时不支持包年包月付费,详情请参见费用组成

 

---

 

安全白皮书

本文介绍如何经过对象存储OSS提供的加密,访问控制,日志与监控及数据保护等多种方式来保障OSS的数据安全性.

加密:

OSS提供服务器端加密,客户端加密以及数据传输加密三种数据加密的方式.

• 服务器端加密

OSS经过服务器端加密机制,提供静态数据保护. 适合于对于文件存储有高安全性或者合规性要求的应用场景.

例如,深度学习样本文件的存储,在线协做类文档数据的存储.

 

服务器端加密

OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption).上传数据时,OSS对收到的用户数据进行加密,而后

再将获得的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的

HTTP请求Header中,声明该数据进行了服务器端加密.

 

注意: 服务器端加密没法对镜像回源保存的数据进行自动加密

 

针对不一样的应用场景,OSS有以下三种服务器端加密方式:

• 使用OSS默认托管的KMS密钥 (SSE-KMS)

您能够将Bucket默认的服务器端加密方式设置为KMS且不指定具体的CMK ID，也能够在上传Object或修改Object的meta信息时，在请求中携带 X-OSS-server-side-encryption 并指定其值为KMS且不指定具体的CMK ID。OSS将使用默认托管的CMK生成不一样的密钥来加密不一样的对象，而且在下载时自动解密。

• 使用BYOK进行加密 (SSE-KMS BYOK)

服务器端加密支持使用BYOK进行加密，您能够将Bucket默认的服务器端加密方式设置为KMS并指定具体的CMK ID，也能够在上传Object或修改Object的meta信息时，在请求中携带 X-OSS-server-side-encryption ，指定其值为KMS，并指定 X-OSS-server-side-encryption-key-id 为具体的CMK ID。OSS将使用指定的CMK生成不一样的密钥来加密不一样的对象，并将加密Object的CMK ID记录到对象的元数据中，所以具备解密权限的用户下载对象时会自动解密。

 

 

• 使用OSS彻底托管加密 (SSE-OSS)

基于OSS彻底托管的加密方式, 是Object的一种属性. OSS服务器端加密使用AES256加密每一个对象,并为每一个对象使用不一样的密钥进行加密.

做为额外的保护,它将使用按期轮转的主密钥对加密密钥自己进行加密.

 

客户端加密

    客户端加密是指将数据发送到OSS以前在用户本地进行加密,对于数据加密密钥的使用,目前支持以下两种方式

• 使用KMS托管用户主密钥

当使用KMS托管用户主密钥用于客户端数据加密时,无需向OSS加密客户端提供任何加密密钥,

只须要在上传对象时指定KMS用户主密钥ID(也就是CMK ID),其具体工做原理以下所示

 

• 数据传输加密

OSS支持经过HTTP或HTTPS的方式访问,但您能够在Bucket Policy中设置仅容许经过HTTPS(TLS)来访问OSS资源.

安全传输层协议(TLS) 用于在两个通讯应用程序之间提供保密性和数据完整性.

 

访问控制

OSS提供了多种权限控制方式,包括ACL, RAM Policy 和 Bucket Policy

 

主要资源术语

 

中文	英文	说明
存储空间	Bucket	存储空间是您用于存储对象(Object)的容器,全部的对象都必须隶属于某个存储空间.
对象/文件	Object	对象是OSS存储数据的基本单元,也被称为OSS的文件.对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,对象由存储空间内部惟一的Key来标识.
地域	Region	地域表示 OSS 的数据中心所在物理位置。您能够根据费用、请求来源等综合选择数据存储的地域。详情请查看 OSS已经开通的Region 。
访问域名	Endpoint	Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不一样地域的时候，须要不一样的域名。经过内网和外网访问同一个地域所须要的域名也是不一样的。具体的内容请参见 各个Region对应的Endpoint 。
访问密钥	AccessKey	AccessKey，简称 AK，指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS经过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户，AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，其中AccessKeySecret 必须保密。

 

---

 

API概览

在service中可见

 

 

生命周期

本文介绍如何管理生命周期

OSS支持设置生命周期(Lifecycle)规则,自动删除过时的文件和碎片,或将到期的文件转储为低频或归档存储类型,从而节省存储费用 . 每条规则包含:

• 规则ID. 用于标识一条规则, 同一存储空间内规则ID不能重复.
• 策略. 有如下两种设置方式. 同一存储空间内仅支持一种设置方式.

            -- 按前缀匹配. 此种方式容许建立多条规则, 前缀不能重复.

            -- 配置到整个存储空间, 此种方式只能建立一条规则.

• 过时时间, 有两种指定方式:

            -- 指定一个过时天数N,文件会在其最近更新时间点的N天后过时.

            -- 指定一个过时时间点,最近更新时间在该时间点以前的文件所有过时.

• 是否生效.

 

 

---

 

防盗链

本文介绍如何使用防盗链.

为了防止您在OSS上的数据被其余人盗链而产生额外费用,您能够设置防盗链功能,包括如下参数:

• Referer白名单. 仅容许指定的域名访问OSS资源.
• 是否容许空Referer.若是不容许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源.

 

---

 

访问日志

您能够开启存储空间的访问日志记录功能,开启后对于此存储空间的访问会被记录成日志文件,保存在指定的存储空间中

 

---

 

静态网站托管

 

您能够将存储空间配置成静态网站托管模式. 配置生效后访问网站至关于访问存储空间,而且可以自动跳转至指定的索引页面和错误页面

所谓静态网站是指全部的网页都由静态内容构成，包括客户端执行的脚本，例如 JavaScript。OSS 不支持涉及到须要服务器端处理的内容，例如 PHP，JSP，ASP.NET等。

若是您想使用本身的域名来访问基于 Bucket 的静态网站，能够经过 绑定自定义域名 来实现。

将一个 Bucket 设置成静态网站托管模式时：

索引页面是必须指定的，错误页面是可选的。

指定的索引页面和错误页面必须是该 Bucket 内的 Object。

 

---

 

跨区域复制

 

跨区域复制是在不一样OSS地域之间自动,异步复制文件,将源存储空间中文件的改动(新建/覆盖/删除操做)同步到目标存储空间中.

该功能用于知足异地容灾和数据复制的需求.

 

进度

跨区域复制进度分为历史数据同步进度和实时数据同步进度.

• 历史数据同步进度用百分比表示,仅对开启了历史数据同步的存储空间有效
• 实时数据同步进度用新写入数据的时间点表示,表明作个时间点以前的数据已同步完成

---

 

跨域资源共享

 

本文介绍如何进行跨域资源共享.

跨域资源共享(Cross-origin resource sharing ,简称CORS)容许Web端的应用程序访问不属于本域的资源.

OSS提供跨域资源共享接口,方便您控制跨域访问的权限.

 

Access-Control-Request-Headers

 

 

Header type	Request header
Forbidden header name	yes

 

语法:

Access-Control-Request-Headers: <header-name>, <header-name>, ...

<header-name> 请求中包含的 HTTP 的 header 的逗号分隔列表。

例子:

Access-Control-Request-Headers: X-PINGOTHER, Content-Type

 

 

 

Access-Control-Expost-Headers

默认状况下,只有六种 simple response headers 简单响应首部 能够暴露给外部:

• Cache-Control
• Content-Language
• Content-Type
• Expires
• Last-Modified
• Pragma