动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

对象加密

PDF

聚焦模式

字号

最后更新时间： 2024-01-22 11:43:35

简介
本文档提供在上传和下载对象时使用服务端加密的 SDK 示例代码。服务端加密说明请参见 服务端加密概述。
使用 SSE-COS 服务端加密保护数据
由腾讯云对象存储（Cloud Object Storage，COS）托管主密钥和管理数据。COS 会帮助您在数据写入数据中心时自动加密，并在您取用该数据时自动解密。目前支持使用 COS 主密钥对数据进行 AES-256 加密。
请求示例：上传和下载 SSE-COS 加密对象
# -*- coding=utf-8
from qcloud_cos import CosConfig
from qcloud_cos import CosS3Client
import sys
import os
import logging
﻿
# 正常情况日志级别使用 INFO，需要定位时可以修改为 DEBUG，此时 SDK 会打印和服务端的通信信息
logging.basicConfig(level=logging.INFO, stream=sys.stdout)
﻿
# 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在 CosConfig 中移除，请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
secret_id = os.environ['COS_SECRET_ID']     # 用户的 SecretId，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
secret_key = os.environ['COS_SECRET_KEY']   # 用户的 SecretKey，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
region = 'ap-beijing'      # 替换为用户的 region，已创建桶归属的region可以在控制台查看，https://console.tencentcloud.com/cos5/bucket
                           # COS 支持的所有 region 列表参见 https://www.tencentcloud.com/document/product/436/6224
token = None               # 如果使用永久密钥不需要填入 token，如果使用临时密钥需要填入，临时密钥生成和使用指引参见 https://www.tencentcloud.com/document/product/436/14048
scheme = 'https'           # 服务端加密必须使用 https
﻿
config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)  # 获取配置对象
client = CosS3Client(config)
﻿
# 上传 SSE-COS 加密对象，指定加密类型为 AES256即为 SSE-COS 加密
response = client.put_object(
    Bucket='examplebucket-125000000',
    Key='sdk-sse-cos',
    Body='123',
    ServerSideEncryption='AES256' 
)
print(response['x-cos-server-side-encryption']) # 服务端返回'x-cos-server-side-encryption': 'AES256' 表示是 SSE-COS 对象
﻿
# 下载 SSE-COS 加密对象，不需要携带加密头域，由服务端自动解密
response = client.get_object(
    Bucket='examplebucket-125000000',
    Key='sdk-sse-cos',
)
print(response['x-cos-server-side-encryption']) # 服务端返回'x-cos-server-side-encryption': 'AES256' 表示是 SSE-COS 对象
参数说明
参数名
参数描述
类型
是否必填
ServerSideEncryption
服务段加密类型，AES256 表示使用 SSE-COS 加密，cos/kms 表示使用 KMS 加密
String
否
使用 SSE-KMS 服务端加密保护数据
由腾讯云密钥管理系统 KMS 托管密钥的服务端加密方式，可选择使用默认密钥或自建密钥。关于密钥信息，可参见 创建 KMS 密钥，关于 SSE-KMS 的更多信息，请参见 服务端加密概述：SSE-KMS。
请求示例：上传和下载 SSE-KMS 加密对象
# -*- coding=utf-8
from qcloud_cos import CosConfig
from qcloud_cos import CosS3Client
from qcloud_cos.cos_comm import to_byte
﻿
import sys
import os
import logging
import base64
﻿
# 正常情况日志级别使用 INFO，需要定位时可以修改为 DEBUG，此时 SDK 会打印和服务端的通信信息
logging.basicConfig(level=logging.INFO, stream=sys.stdout)
﻿
# 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在 CosConfig 中移除，请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
secret_id = os.environ['COS_SECRET_ID']     # 用户的 SecretId，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
secret_key = os.environ['COS_SECRET_KEY']   # 用户的 SecretKey，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
region = 'ap-beijing'      # 替换为用户的 region，已创建桶归属的 region 可以在控制台查看，https://console.tencentcloud.com/cos5/bucket
                           # COS 支持的所有 region 列表参见 https://www.tencentcloud.com/document/product/436/6224
token = None               # 如果使用永久密钥不需要填入 token，如果使用临时密钥需要填入，临时密钥生成和使用指引参见 https://www.tencentcloud.com/document/product/436/14048
scheme = 'https'           # 服务端加密必须使用 https
﻿
config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)  # 获取配置对象
client = CosS3Client(config)
﻿
# 上传 SSE-KMS 加密对象，指定加密类型为 cos/kms 即为 SSE-KMS 加密
response = client.put_object(
    Bucket='examplebucket-125000000',
    Key='sdk-sse-kms',
    Body='123',
    ServerSideEncryption='cos/kms',  # SSE-KMS 加密固定填写 cos/kms
    SSEKMSKeyId='kms-key-id',  # 填写 KMS 的用户主密钥 CMK，如不填写则使用 COS 默认创建的 CMK
    SSEKMSContext=base64.standard_b64encode(to_bytes("{\\"test\\":\\"test\\"}")) # 加密上下文，值为 JSON 格式加密上下文键值对的 Base64 编码，可选
)
print(response['x-cos-server-side-encryption']) # 服务端返回'x-cos-server-side-encryption': 'cos/kms' 表示是 SSE-KMS 对象
﻿
# 下载 SSE-KMS 加密对象，不需要携带加密头域，由服务端自动解密
response = client.get_object(
    Bucket='examplebucket-125000000',
    Key='sdk-sse-kms',
)
print(response['x-cos-server-side-encryption']) # 服务端返回'x-cos-server-side-encryption': 'cos/kms' 表示是 SSE-KMS 对象
﻿
# 高级接口上传 SSE-KMS 加密对象，指定加密类型为 cos/kms 即为 SSE-KMS 加密
response = client.upload_file(
    Bucket='examplebucket-125000000', 
    Key='sdk-sse-kms', 
    LocalFilePath="sdk-sse-kms.local", 
    ServerSideEncryption='cos/kms') # SSE-KMS 加密固定填写 cos/kms
﻿
# 高级接口下载 SSE-KMS 加密对象，不需要携带加密头域，由服务端自动解密
response = client.download_file(
    Bucket='examplebucket-125000000', 
    Key='sdk-sse-kms', 
    DestFilePath='sdk-sse-kms.local')
参数说明
参数名
参数描述
类型
是否必填
ServerSideEncryption
服务段加密配置，AES256 表示使用 SSE-COS 加密，cos/kms 表示使用 KMS 加密
String
否
SSEKMSKeyId
当 ServerSideEncryption='cos/kms'时，可以填写 KMS 的用户主密钥 CMK，如不填写则使用 COS 默认创建的 CMK
String
否
SSEKMSContext
当ServerSideEncryption='cos/kms'时，可以填加密上下文，值为 JSON 格式加密上下文键值对的 Base64 编码
String
否
使用 SSE-C 服务端加密保护数据
加密密钥由用户自己提供，用户在上传对象时，COS 将使用用户提供的加密密钥对用户的数据进行 AES-256 加密。
注意
该加密所运行的服务需要使用 HTTPS 请求。
customerKey：用户提供的密钥，传入一个32字节的字符串，支持数字、字母、字符的组合，不支持中文。
如果上传的源文件调用了该方法，那么在使用 GET（下载）、HEAD（查询）时对源对象操作的时候也要调用该方法。
请求示例：上传、下载、拷贝、取回 SSE-C 加密对象
# -*- coding=utf-8
from qcloud_cos import CosConfig
from qcloud_cos import CosS3Client
from qcloud_cos.cos_comm import get_md5, to_byte
﻿
import sys
import os
import logging
import base64
﻿
# 正常情况日志级别使用 INFO，需要定位时可以修改为 DEBUG，此时 SDK 会打印和服务端的通信信息
logging.basicConfig(level=logging.INFO, stream=sys.stdout)
﻿
# 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在 CosConfig 中移除，请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
secret_id = os.environ['COS_SECRET_ID']     # 用户的 SecretId，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
secret_key = os.environ['COS_SECRET_KEY']   # 用户的 SecretKey，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/32675
region = 'ap-beijing'      # 替换为用户的 region，已创建桶归属的 region 可以在控制台查看，https://console.tencentcloud.com/cos5/bucket
                           # COS 支持的所有 region 列表参见 https://www.tencentcloud.com/document/product/436/6224
token = None               # 如果使用永久密钥不需要填入 token，如果使用临时密钥需要填入，临时密钥生成和使用指引参见 https://www.tencentcloud.com/document/product/436/14048
scheme = 'https'           # 服务端加密必须使用 https
﻿
config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)  # 获取配置对象
client = CosS3Client(config)
bucket = 'examplebucket-125000000'
file_name = 'sdk-sse-c'
﻿
# 编码和哈希加密密钥
ssec_secret = '00000000000000000000000000000001' # 原始密钥需要是32位
ssec_key = base64.standard_b64encode(to_bytes(ssec_secret)) # 密钥必须 Base64编码
ssec_key_md5 = get_md5(ssec_secret)
﻿
# 上传 SSE-C 加密对象
response = client.put_object(
    Bucket=bucket, Key=file_name, Body="00000",
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
print(response['x-cos-server-side-encryption-customer-algorithm']) # 服务端返回'x-cos-server-side-encryption-customer-algorithm': 'AES256' 表示是 SSE-C 对象
﻿
# 下载 SSE-C 加密对象
response = client.get_object(
    Bucket=bucket, Key=file_name,
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
print(response['x-cos-server-side-encryption-customer-algorithm']) # 服务端返回'x-cos-server-side-encryption-customer-algorithm': 'AES256' 表示是 SSE-C 对象
﻿
# HEAD SSE-C 加密对象
response = client.head_object(
    Bucket=bucket, Key=file_name, 
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
print(response['x-cos-server-side-encryption-customer-algorithm']) # 服务端返回'x-cos-server-side-encryption-customer-algorithm': 'AES256' 表示是 SSE-C 对象
﻿
# 高级接口上传 SSE-C 加密对象
response = client.upload_file(
    Bucket=bucket, Key=file_name, LocalFilePath="sdk-sse-c.local",
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
﻿
# 高级接口下载 SSE-C 加密对象
response = client.download_file(
    Bucket=bucket, Key=file_name, DestFilePath='sdk-sse-c.local',
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
﻿
# 拷贝 SSE-C 加密对象，源和目标的加密类型和密钥可以不一样。例子中的源对象是 SSE-C 类型，目标对象也是 SSE-C 类型。
dest_ssec_secret = '00000000000000000000000000000002' # 密钥需要是32位
dest_ssec_key = base64.standard_b64encode(to_bytes(dest_ssec_secret))
dest_ssec_key_md5 = get_md5(dest_ssec_secret)
copy_source = {'Bucket': bucket, 'Key': file_name, 'Region': region}
response = client.copy_object(
    Bucket=bucket, Key='sdk-sse-c-copy', CopySource=copy_source,
    SSECustomerAlgorithm='AES256', SSECustomerKey=dest_ssec_key, SSECustomerKeyMD5=dest_ssec_key_md5,
    CopySourceSSECustomerAlgorithm='AES256', CopySourceSSECustomerKey=ssec_key, CopySourceSSECustomerKeyMD5=ssec_key_md5
)
﻿
# 高级接口拷贝 SSE-C 加密对象
response = client.copy(
    Bucket=bucket, Key='sdk-sse-c-copy', CopySource=copy_source, MAXThread=2,
    SSECustomerAlgorithm='AES256', SSECustomerKey=dest_ssec_key, SSECustomerKeyMD5=dest_ssec_key_md5,
    CopySourceSSECustomerAlgorithm='AES256', CopySourceSSECustomerKey=ssec_key, CopySourceSSECustomerKeyMD5=ssec_key_md5)
﻿
# 取回 SSE-C 加密对象
response = client.restore_object(
    Bucket=bucket, Key=file_name, RestoreRequest={
        'Days': 1,
        'CASJobParameters': {
            'Tier': 'Expedited'
        }
    }, 
    SSECustomerAlgorithm='AES256', SSECustomerKey=ssec_key, SSECustomerKeyMD5=ssec_key_md5)
参数说明
参数名
参数描述
类型
是否必填
SSECustomerAlgorithm
SSE-C 加密算法，目前只支持 AES256
String
否
SSECustomerKey
用户的加密密钥，密钥需要是32位字符串，支持数字、字母、字符的组合，不支持中文，并且使用 Base64 编码
String
SSECustomerAlgorithm 存在时必填
SSECustomerKeyMD5
用户的加密密钥 MD5 值，用于服务端校验密钥完整性
String
SSECustomerAlgorithm 存在时必填
CopySourceSSECustomerAlgorithm
在拷贝接口中，如果源对象使用了 SSE-C 加密，则需要通过此参数指定源对象的加密算法，目前只支持 AES256
String
否
CopySourceSSECustomerKey
在拷贝接口中，如果源对象使用了 SSE-C 加密，则需要通过此参数指定源对象的加密密钥，密钥需要是32位字符串，并且使用 Base64 编码
String
CopySourceSSECustomerAlgorithm 存在时必填
CopySourceSSECustomerKeyMD5
在拷贝接口中，如果源对象使用了 SSE-C 加密，需要通过此参数指定源对象的加密密钥 MD5 值，用于服务端校验密钥完整性
String
CopySourceSSECustomerAlgorithm 存在时必填

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

参数名	参数描述	类型	是否必填
ServerSideEncryption	服务段加密类型，AES256 表示使用 SSE-COS 加密，cos/kms 表示使用 KMS 加密	String	否

tencent cloud

对象存储

对象加密

简介

使用 SSE-COS 服务端加密保护数据

请求示例：上传和下载 SSE-COS 加密对象

参数说明

使用 SSE-KMS 服务端加密保护数据

请求示例：上传和下载 SSE-KMS 加密对象

参数说明

使用 SSE-C 服务端加密保护数据

请求示例：上传、下载、拷贝、取回 SSE-C 加密对象

参数说明

帮助和支持