全部產品

Key Management Service：支援服務端整合加密的雲端服務

更新時間：Sep 10, 2024

雲端服務通過使用服務託管密鑰或者使用者自選密鑰（包括BYOK-內建密鑰）對不同情境和類型的資料進行加密保護。本文介紹了當前支援服務端整合加密的雲端服務。

重要

如果您購買了支援服務端整合加密的雲端服務，需要使用服務託管密鑰或者使用者自選密鑰（包括BYOK-內建密鑰）對資料進行加密保護時，無需再單獨購買專屬KMS。

工作負載資料加密

服務名稱	描述	相關文檔
Elastic Compute Service	ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料，也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中，每一塊雲端硬碟（Disk）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。使用ECS雲端硬碟加密功能，系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密，並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中，雲端硬碟的效能幾乎沒有衰減。在建立加密雲端硬碟並將其掛載到ECS執行個體後，系統將對以下資料進行加密：雲端硬碟中的待用資料雲端硬碟和執行個體間傳輸的資料（執行個體作業系統內資料不加密）從加密雲端硬碟建立的所有快照（即加密快照）	加密雲端硬碟
Container ServiceKubernetes版ACK	Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密： Kubernetes Secrets 在Kubernetes叢集中，我們通常使用Secrets密鑰模型儲存和管理業務應用涉及的敏感資訊。例如：應用密碼、TLS認證、Docker鏡像下載憑據等敏感資訊。Kubernetes會將所有的這些Secrets金鑰組象資料存放區在叢集對應的ETCD中。儲存卷儲存卷可以是雲端硬碟、OSS、或者NAS卷。針對各類儲存卷，可以採用特定儲存類型的服務端KMS加密方式。例如：您可以建立一個加密雲端硬碟，隨後掛載為Kubernetes儲存卷。	使用阿里雲KMS進行Secret的落盤加密
Web應用託管服務Web+	Web+使用KMS對應用託管服務中使用的敏感配置資料進行加密保護，這包含了類似RDS資料庫的訪問憑證等機密資訊。	無
Application Configuration ManangementACM	ACM通過和KMS整合，對應用配置進行加密，確保敏感配置（資料來源、Token、使用者名稱、密碼等）的安全性，降低使用者配置的泄露風險。ACM服務端和KMS的整合有以下兩種方式：在KMS服務端直接加密 ACM服務通過KMS的資料加密API，將配置傳送到KMS端，指定CMK完成對配置的加密。在ACM服務端信封加密通過KMS的API，使用指定CMK來保護產生的資料密鑰（DK），使用資料密鑰（DK）在ACM服務端完成對配置的加密。	建立和使用加密配置

持久化儲存資料加密

服務名稱	描述	相關文檔
Object Storage Service	OSS支援在伺服器端對上傳的資料進行加密（Server-Side Encryption）：上傳資料時，OSS對收到的使用者資料進行加密，然後將得到的加密資料持久化儲存。下載資料時，OSS自動對儲存的加密資料進行解密並把未經處理資料返回給使用者。在返回的HTTP請求Header中，聲明該資料進行了伺服器端加密。 OSS在支援整合KMS之前就支援了SSE-OSS，即：使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰，因此使用者無法通過Action Trail服務審計密鑰使用方式。 OSS支援整合KMS進行服務端加密，稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK，也支援在上傳每個對象時使用特定的CMK。	伺服器端加密 SDK參考
Apsara File Storage NAS	NAS的加密功能預設使用服務密鑰為使用者的資料進行加密。NAS的加密機制中，每一卷（Volume）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。	伺服器端加密
Table StoreTablestore	Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密，同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中，每一個表格（Table）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。	無
Cloud Storage GatewayCSG	Cloud Storage GatewayCSG支援兩種方式進行加密：網關側加密：檔案會在網關側緩衝盤進行加密後上傳至OSS。基於OSS對資料進行加密。	網關側加密管理共用

資料庫加密

服務名稱	描述	相關文檔
關係型資料庫RDS	RDS資料加密提供以下兩種方式：雲端硬碟加密針對RDS雲端硬碟版執行個體，阿里雲免費提供雲端硬碟加密功能，基於Block Storage對整個資料盤進行加密。雲端硬碟加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時，動態讀取一次密鑰。透明資料加密TDE RDS提供MySQL和SQL Server的透明資料加密TDE（Transparent Data Encryption）功能。TDE加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。當RDS執行個體開啟TDE功能後，使用者可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置（磁碟、SSD、PCIe卡）或者服務（Object Storage Service）前都會進行加密，因此執行個體對應的資料檔案和備份都是以密文形式存在的。	MySQL：雲端硬碟加密、設定透明資料加密TDE SQL Server：雲端硬碟加密、設定透明資料加密TDE PostgreSQL：雲端硬碟加密
ApsaraDB for MongoDB	提供透明資料加密TDE功能，加密方式和RDS類似。	設定透明資料加密TDE
雲資料庫PolarDB	提供透明資料加密TDE功能，加密方式和RDS類似。	PolarDB MySQL：設定透明資料加密TDE PolarDB O引擎：設定透明資料加密TDE PolarDB PostgreSQL：設定透明資料加密TDE
OceanBase	提供透明資料加密TDE功能，加密方式和RDS類似。	TDE 透明加密
ApsaraDB for Redis	提供透明資料加密TDE功能，加密方式和RDS類似。	開啟透明資料加密TDE

日誌資料加密

服務名稱	描述	相關文檔
Action TrailActiontrail	建立單帳號跟蹤或者多帳號跟蹤時，如果選擇投遞到OSS，可以在Action Trail控制台直接加密操作事件。	建立單帳號跟蹤建立多帳號跟蹤
Log Service SLS	Log Service支援通過KMS對資料進行加密儲存，提供資料靜態保護能力。	資料加密

巨量資料與人工智慧

服務名稱	描述	相關文檔
巨量資料計算MaxCompute	MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。	儲存加密
Machine Learning Platform for AI	Machine Learning Platform for AI產品架構中，計算引擎、Container Service、資料存放區等各個資料流轉環節，相應的雲端服務均可以佈建服務端加密，保護資料的安全與隱私。	無

更多情境

服務名稱	描述	相關文檔
內容分發網路CDN	當使用OSS Bucket作為來源站點時，可以使用基於OSS的服務端加密保護分發內容。請參考CDN文檔，配置CDN訪問加密Bucket。	OSS私人Bucket回源
ApsaraVideo for Media ProcessingMTS	MTS支援私人加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。	無
ApsaraVideo for VODVOD	VOD支援阿里雲視頻加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。	阿里雲視頻加密 HLS標準加密