このドキュメントでは、Key Management Service (KMS) との連携をサポートする Alibaba Cloud のサービスについて説明します。 これらの Alibaba Cloud サービスでは、データを暗号化するために、Bring Your Own Key (BYOK) 機能を使用してアップロードされたキーを含め、サーバー管理キーまたはユーザー管理キーを使用できます。

KMS との連携により、Alibaba Cloud サービスに保存されたデータを低コストで保護し、ビジネスデータのセキュリティ境界を提供し、ビジネスセキュリティを保護する Alibaba Cloud の機能を強化できます。 Alibaba Cloud サービスでは、直接アクセスできるビジネスデータだけでなく、間接的にしかアクセスできないビジネスデータも暗号化できます。

ECS

デフォルトで、 Elastic Compute Service (ECS) のディスク暗号化機能は、サービスキーを使用してデータを暗号化します。 この機能はユーザー管理キーもサポートしています。 各ディスクには独自の CMK (Customer Master Key) と DK (Data Key) があり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。

ECS インスタンスは、暗号化されたディスクに送信されるデータを自動的に暗号化し、ディスクから読み取られたデータを自動的に復号します。 データは、ECS インスタンスが存在するホスト上で暗号化および復号化されます。 暗号化および復号化中、ディスクのパフォーマンスはほとんど低下しません。

暗号化されたディスクが作成され、ECS インスタンスに接続された後、ECS インスタンスは次のデータを暗号化します。
  • ディスクに保存された静的データ。
  • ディスクと ECS インスタンス間で送信されるデータ。 ECS インスタンスのオペレーティングシステムのデータは暗号化されません。
  • 暗号化されたディスクから作成されたすべてのスナップショット。 これらのスナップショットは、暗号化されたスナップショットと呼ばれます。
Container Service は、ディスク暗号化機能を使用してデータを暗号化することもできます。

OSS

Object Storage Service (OSS) は、サーバー側の暗号化 (SSE) 機能を使用して、アップロードされたデータを暗号化します。 データを OSS にアップロードすると、OSS はデータを暗号化し、暗号化されたデータを永続ストレージに保存します。 OSS からデータをダウンロードすると、OSS は暗号化されたデータを自動的に復号し、復号したデータを返します。 さらに、OSS は、返された HTTP レスポンスのヘッダーを通じてサーバー上でデータが暗号化されたことを宣言します。

OSS は、OSS 専用の暗号化システムを使用して SSE 機能を実装できます。 この場合、この機能は SSE-OSS と呼ばれます。 この暗号化システムで使用されるキーは、OSS によって管理されます。 したがって、ActionTrail を使用してこれらのキーの使用を監査することはできません。

OSS は、KMS を使用して SSE 機能を実装することもできます。 この場合、この機能は SSE-KMS と呼ばれます。 OSS は、サービスキーまたはユーザー管理キーを使用してデータを暗号化します。 OSS では、バケットごとにデフォルトの CMK を設定したり、オブジェクトのアップロード時に使用する CMK を指定したりできます。

詳細については、 「サーバー側暗号化」および OSS の「 SDKリファレンス」をご参照ください 。

ApsaraDB

  • ApsaraDB for RDS
    ApsaraDB for Relational Database Service (RDS) は、データを暗号化するために次の方法をサポートしています。
    • ディスク暗号化

      RDS インスタンスで使用されるディスクの場合、Alibaba Cloud は、ブロックストレージに基づいてディスクを暗号化するディスク暗号化機能を無料で提供しています。 ディスク暗号化に使用されるキーは暗号化され、KMS に保存されます。 RDS は、インスタンスの起動時または移行時にのみキーを読み取ります。

    • TDE

      RDS MySQL および RDS SQL Server は、透過的データ暗号化 (TDE) をサポートしています。 TDE に使用されるキーは暗号化され、KMS に保存されます。 RDS は、インスタンスの起動時または移行時にのみキーを読み取ります。 RDS インスタンスに対して TDE を有効にした後、暗号化するデータベースまたはテーブルを指定できます。 指定されたデータベースまたはテーブルのデータは、最初に暗号化されてから、ハードディスクドライブ (HDD)、ソリッドステートドライブ(SSD)、または Peripheral Component Interconnect Express (PCIe) カードなどのターゲットデバイス、または OSS や Archive Storage などの任意のサービスに書き込まれます。 RDS インスタンスのすべてのデータファイルとバックアップは、暗号化テキストで保存されます。

    詳細については、以下のドキュメントをご参照ください。
  • ApsaraDB for MongoDB

    ApsaraDB for MongoDB の暗号化方式は、ApsaraDB for RDS の暗号化方式と同様です。 詳細については、「TDE の設定」をご参照ください。

ACM

Application Configuration Management (ACM) は、KMS と連携してアプリケーション設定を暗号化します。 これにより、データソース、トークン、ユーザー名、パスワードなどの機密性の高い設定のセキュリティが確保され、設定漏洩のリスクが軽減されます。 ACM では、次のいずれかの方法で KMS を使用できます。
  • KMS でデータを暗号化する

    ACM は KMS API を呼び出して、設定を KMS に送信し、指定された CMK で設定を暗号化します。

  • エンベロープ暗号化メカニズムを使用して ACM でデータを暗号化する

    ACM は DK を使用して ACM の設定を暗号化し、KMS API を呼び出して、指定された CMK で DK を暗号化します。

詳細については、「暗号化設定の作成と使用」をご参照ください。

NAS

デフォルトでは、 Network Attached Storage (NAS) はサービスキーを使用してデータを暗号化します。 各ボリュームには独自の CMK および DK があり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。 現在、NAS サービスキーのみが CMK として使用できます。 今後、ユーザー管理キーがサポートされる予定です。

Table Store

デフォルトでは、Table Store はサービスキーを使用してデータを暗号化します。 テーブルストアはユーザー管理キーもサポートしています。 各テーブルには独自の CMK と DK があり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。

MaxCompute

MaxCompute は、サービスキーを CMK として使用してデータを暗号化します。

CSG

Cloud Storage Gateway (CSG) は、OSS ベースのデータ暗号化をサポートしています。 詳細については、「共有の管理」をご参照ください。

ApsaraVideo for Media Processing

ApsaraVideo for Media Processing は、Alibaba Cloud 独自の暗号化と HTTP ライブストリーミング (HLS) 暗号化の両方をサポートしています。 どちらの方法でも、KMS と連携してビデオコンテンツを保護できます。

ApsaraVideo VOD

ApsaraVideo VOD は、 Alibaba Cloud ビデオ暗号化、および HLS暗号化 をサポートしています。 どちらの方法でも、KMS と連携してビデオコンテンツを保護できます。

Web+

Web App Service (Web+) は KMS と連携して、機密設定データを暗号化します。