二十一、OSS 提供哪些数据加密的方式？

OSS 提供服务端加密和客户端加密。

• 服务器端加密：将数据保存到数据中心的磁盘之前进行加密，并且在下载文件时自动进行解密。OSS 提供两种服务器端加密方式：

  1. 使用KMS托管密钥进行加解密（SSE-KMS）
     上传文件时，可以使用指定的CMK ID或者默认KMS托管的CMK进行加解密操作。这种场景适合于大量的数据加解密。数据无需通过网络发送到KMS服务端进行加解密，这是一种低成本的加解密方式。
  2. 使用OSS完全托管加密（SSE-OSS）
     基于OSS完全托管的加密方式，是Object的一种属性。OSS服务器端加密使用AES256加密每个对象，并为每个对象使用不同的密钥进行加密，作为额外的保护，它将使用定期轮转的主密钥对加密密钥本身进行加密。该方式适合于批量数据的加解密。

• 客户端加密：客户端加密是指将数据发送到OSS之前在用户本地进行加密，对于数据加密密钥的使用，目前支持如下两种方式：

  1. 使用KMS托管用户主密钥
     当使用KMS托管用户主密钥用于客户端数据加密时，无需向OSS加密客户端提供任何加密密钥。只需要在上传对象时指定KMS用户主密钥ID（也就是CMK ID）。
  2. 使用用户自主管理密钥
     使用用户自主管理密钥，需要用户自主生成并保管加密密钥。当用户本地客户端加密时，由用户自主上传加密密钥（对称加密密钥或者非对称加密密钥）至本地加密客户端。

二十二、什么是 OSS 生命周期管理？如何利用生命周期管理来帮助降低 OSS 存储成本？

通过生命周期规则，您可以更高效的管理您存储的数据，节省大量人力及存储成本。您可以通过设置匹配特定前缀的规则，定期将非热门数据转换为低频访问或归档存储，将不再需要访问的数据删除。例如：

• 某医疗机构的医疗档案，上传至OSS后半年内需要偶尔访问，半年后基本不再访问。可以通过设置生命周期规则，将已上传180天的医疗档案转为归档存储。
• 某公司服务热线的录音文件，上传至OSS后2个月内，需要作为数据统计及核查的依据，2个月后偶尔访问，半年后基本不再访问，2年后数据不再需要存储。可以通过设置生命周期规则，设置录音文件上传60天后转为低频访问存储，180天后转为归档存储，730天后删除。
• 您也可以通过生命周期规则批量删除Bucket的数据。例如：存储空间内有大量文件需要全部删除，但是手动删除每次仅可以删除最多1000个文件，删除时比较麻烦。您可以配置一条匹配整个Bucket的生命周期规则，设置一天后删除所有文件。此Bucket内的数据会在第二天被全部删除。
  关于生命周期的详细介绍和配置，请参见管理文件生命周期。

二十三、什么是 OSS 跨区域复制？

跨区域复制（Bucket Cross-Region Replication） 是跨不同 OSS 数据中心（地域）的 Bucket 自动、异步复制 Object，它会将 Object 的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供 Bucket 跨区域容灾或满足用户数据复制的需求。目标 Bucket 中的文件是源 Bucket 中文件的精确副本，它们具有相同的文件名、元数据以及内容，例如创建时间、拥有者、用户定义的元数据、Object ACL、文件内容等。

二十四、跨区域复制如何收费？

开启跨区域复制功能后，主从两个区域的 Bucket 在备份文件时会产生跨区域间的数据流量，OSS 会收取跨区域复制流量费用。每同步1个 Object，OSS 会累计计算请求次数并进行按量计费。目前跨区域复制流量仅支持按量付费，不提供资源包。

云熙科技是阿里云精英级代理商，具备专业的企业IT解决方案。为客户提供上云咨询到产品配置、云上解决方案、应用迁移、安全防护、技术支持等全套服务支持。折扣优惠请咨询客服：132 4670 0747（云小二）