上传文件时，可以使用默认KMS（Key Management Service）托管的CMK（Customer Master Key）或者指定的CMK ID进行加解密操作。这种场景适合于大量的数据加解密。数据无需通过网络发送到KMS服务端进行加解密，是一种低成本的加解密方式。

KMS是阿里云提供的一款安全、易用的管理类服务。用户无需花费大量成本来保护密钥的保密性、完整性和可用性。借助密钥管理服务，用户可以安全、便捷的使用密钥，专注于开发加解密功能场景。用户可以通过KMS控制台中查看和管理KMS密钥。

除了采用AES-256加密算法外，KMS负责保管用户主密钥CMK（对数据密钥进行加密的密钥），以及生成数据加密的密钥，通过信封加密机制，进一步防止未经授权的数据访问。CMK可通过使用OSS默认托管的KMS密钥的方式或者通过BYOK的方式生成，其中使用的BYOK材料可以由阿里云提供，也可以由用户自主提供。

基于OSS完全托管的加密方式，是Object的一种属性。OSS服务器端加密使用行业标准的强加密算法AES-256（即256位高级加密标准）加密每个对象，并为每个对象使用不同的密钥进行加密。作为额外的保护，它使用定期轮转的主密钥对加密密钥本身进行加密。该方式适合于批量数据的加解密。

该加密方式下，数据加密密钥的生成和管理由OSS负责。您可以将Bucket默认的服务器端加密方式设置为AES-256，也可以在上传Object或修改Object的元信息时，在请求中携带X-OSS-server-side-encryption并指定其值为AES256，即可实现该Object的服务器端加密存储。