雲端服務通過使用服務託管密鑰或者使用者自選密鑰(包括BYOK-內建密鑰)對不同情境和類型的資料進行加密保護。本文介紹了當前支援服務端整合加密的雲端服務。
如果您購買了支援服務端整合加密的雲端服務,需要使用服務託管密鑰或者使用者自選密鑰(包括BYOK-內建密鑰)對資料進行加密保護時,無需再單獨購買專屬KMS。
工作負載資料加密
服務名稱 | 描述 | 相關文檔 |
Elastic Compute Service | ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料,也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中,每一塊雲端硬碟(Disk)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 使用ECS雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中,雲端硬碟的效能幾乎沒有衰減。 在建立加密雲端硬碟並將其掛載到ECS執行個體後,系統將對以下資料進行加密:
| |
Container ServiceKubernetes版ACK | Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密:
| |
Web應用託管服務Web+ | Web+使用KMS對應用託管服務中使用的敏感配置資料進行加密保護,這包含了類似RDS資料庫的訪問憑證等機密資訊。 | 無 |
持久化儲存資料加密
服務名稱 | 描述 | 相關文檔 |
Object Storage Service | OSS支援在伺服器端對上傳的資料進行加密(Server-Side Encryption):
OSS在支援整合KMS之前就支援了SSE-OSS,即:使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰,因此使用者無法通過Action Trail服務審計密鑰使用方式。 OSS支援整合KMS進行服務端加密,稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK,也支援在上傳每個對象時使用特定的CMK。 | |
Apsara File Storage NAS | NAS的加密功能預設使用服務金鑰組使用者的資料進行加密。NAS的加密機制中,每一卷(Volume)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | |
Table StoreTablestore | Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密,同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中,每一個表格(Table)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | 無 |
Cloud Storage GatewayCSG | 基於OSS對資料進行加密。 |
資料庫加密
服務名稱 | 描述 | 相關文檔 |
關係型資料庫RDS | RDS資料加密提供以下兩種方式:
|
|
ApsaraDB for MongoDB | 提供透明資料加密TDE功能,加密方式和RDS類似。 | |
雲資料庫PolarDB | 提供透明資料加密TDE功能,加密方式和RDS類似。 |
|
OceanBase | 提供透明資料加密TDE功能,加密方式和RDS類似。 | |
Tair (Redis OSS-compatible) | 提供透明資料加密TDE功能,加密方式和RDS類似。 |
日誌資料加密
服務名稱 | 描述 | 相關文檔 |
Action TrailActiontrail | 建立單帳號跟蹤或者多帳號跟蹤時,如果選擇投遞到OSS,可以在Action Trail控制台直接加密操作事件。 | |
Log Service SLS | Log Service支援通過KMS對資料進行加密儲存,提供資料靜態保護能力。 |
巨量資料與人工智慧
服務名稱 | 描述 | 相關文檔 |
巨量資料計算MaxCompute | MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。 | |
Machine Learning Platform for AI | Machine Learning Platform for AI產品架構中,計算引擎、Container Service、資料存放區等各個資料流轉環節,相應的雲端服務均可以佈建服務端加密,保護資料的安全與隱私。 | 無 |
更多情境
服務名稱 | 描述 | 相關文檔 |
內容分發網路CDN | 當使用OSS Bucket作為來源站點時,可以使用基於OSS的服務端加密保護分發內容。請參考CDN文檔,配置CDN訪問加密Bucket。 | |
ApsaraVideo for Media ProcessingMTS | MTS支援私人加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 | 無 |
ApsaraVideo for VODVOD | VOD支援阿里雲視頻加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 |