全部產品
Search
文件中心

Key Management Service:使用KMS加密雲端服務

更新時間:Jul 06, 2024

Key Management Service(Key Management Service)已整合Elastic Compute Service、Object Storage Service、Container ServiceKubernetes版ACK、雲資料庫RDS等雲端服務,您可以使用KMS加密這些雲端服務,保護雲上資料安全。

加密Elastic Compute Service

您可以使用KMS加密ECS的資源,例如:ECS系統硬碟、資料盤,以及和它們相關的鏡像、快照。

如下以建立ECS執行個體時加密資料盤為例,為您介紹加密ECS的方法。其他動作方法,請參見使用KMS一鍵保護ECS工作負載

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頂部導覽列,選擇地區。

  4. 執行個體頁面,單擊建立執行個體

  5. 基礎配置頁面的儲存地區,按以下步驟加密資料盤。

    1. 單擊增加一塊資料盤

    2. 設定資料盤規格參數。

    3. 選中加密,然後在下拉式清單中選擇一個密鑰。

      您可以選擇KMS服務主要金鑰(Default Service CMK)或在KMS中提前建立的使用者主要金鑰進行加密。建立執行個體時加密資料盤

  6. 根據控制台提示完成其他參數設定。

    更多資訊,請參見自訂購買執行個體

加密Object Storage Service

當檔案上傳到Object Storage Service的儲存空間(Bucket)後,使用KMS自動對其進行落盤加密儲存。

  • 在建立Bucket時進行加密

    1. 登入OSS管理主控台

    2. 概覽頁面的Bucket管理地區,單擊建立Bucket

    3. 建立Bucket面板的服務端加密方式地區,選擇KMS

    4. 選擇密碼編譯演算法

    5. 選擇加密金鑰

      您可以選擇KMS密鑰ID,使用指定的CMK產生不同的密鑰來加密不同的Object,具有解密許可權的使用者下載Object時會自動解密。選擇指定的密鑰ID前,需在Key Management Service控制台建立一個與Bucket相同地區的普通密鑰或外部金鑰。具體操作,請參見建立密鑰

    6. 根據控制台提示完成其他參數設定。

      更多資訊,請參見建立儲存空間

  • 對已有Bucket進行加密

    1. 登入OSS管理主控台

    2. 在左側導覽列,單擊Bucket列表

    3. 單擊目標Bucket名稱。

    4. 在左側導覽列,選擇資料安全 > 伺服器端加密

    5. 伺服器端加密地區,單擊設定

      1. 設定服務端加密方式KMS

      2. 選擇密碼編譯演算法

      3. 選擇加密金鑰

        您可以選擇KMS密鑰ID,使用指定的CMK產生不同的密鑰來加密不同的Object,具有解密許可權的使用者下載Object時會自動解密。選擇指定的密鑰ID前,需在Key Management Service控制台建立一個與Bucket相同地區的普通密鑰或外部金鑰。具體操作,請參見建立密鑰

      4. 單擊儲存

        重要

        開啟或修改Bucket預設加密方式不會對Bucket內已有檔案添加或修改加密方式。

加密Container ServiceKubernetes版ACK

在ACK Pro託管叢集中,您可以使用在KMS中建立的祕密金鑰加密Kubernetes Secret密鑰。

  1. 登入Container Service管理主控台

  2. 在左側導覽列,單擊叢集

  3. 叢集列表頁面,單擊頁面右上方的叢集模板

  4. 選擇叢集模板對話方塊,選擇Pro託管叢集,然後單擊建立

  5. ACK託管版頁簽,找到Secret落盤加密,選中選擇KMS密鑰,在下拉式清單中選擇KMS密鑰ID。

  6. 根據控制台提示完成其他參數設定。

    更多資訊,請參見建立ACK Pro版叢集

加密雲資料庫RDS

雲資料庫RDS資料加密支援雲端硬碟加密和透明資料加密TDE。如下以雲資料庫RDS MySQL版的雲端硬碟加密為例,為您介紹加密RDS的方法。

  1. 登入RDS執行個體建立頁面。

  2. 儲存類型地區,選擇SSD雲端硬碟ESSD雲端硬碟,然後選中右側雲端硬碟加密

  3. 密鑰地區下拉式清單中選擇KMS密鑰ID。

    SSD雲端硬碟

  4. 根據控制台提示完成其他參數設定。

    更多資訊,請參見快速建立RDS MySQL執行個體

加密更多雲端服務

更多雲端服務加密介紹,請參見支援服務端整合加密的雲端服務