Key Management Service：使用KMS加密雲端服務

加密Elastic Compute Service

您可以使用KMS加密ECS的資源，例如：ECS系統硬碟、資料盤，以及和它們相關的鏡像、快照。

如下以建立ECS執行個體時加密資料盤為例，為您介紹加密ECS的方法。其他動作方法，請參見使用KMS一鍵保護ECS工作負載。

1. 登入ECS管理主控台。

2. 在左側導覽列，選擇執行個體與鏡像 > 執行個體。

3. 在頂部導覽列，選擇地區。

4. 在執行個體頁面，單擊建立執行個體。

5. 在基礎配置頁面的儲存地區，按以下步驟加密資料盤。

   1. 單擊增加一塊資料盤。

   2. 設定資料盤規格參數。

   3. 選中加密，然後在下拉式清單中選擇一個密鑰。

      您可以選擇KMS服務主要金鑰（Default Service CMK）或在KMS中提前建立的使用者主要金鑰進行加密。

6. 根據控制台提示完成其他參數設定。

   更多資訊，請參見自訂購買執行個體。

加密Object Storage Service

當檔案上傳到Object Storage Service的儲存空間（Bucket）後，使用KMS自動對其進行落盤加密儲存。

• 在建立Bucket時進行加密

  1. 登入OSS管理主控台。

  2. 在概覽頁面的Bucket管理地區，單擊建立Bucket。

  3. 在建立Bucket面板的服務端加密方式地區，選擇KMS。

  4. 選擇密碼編譯演算法。

     • AES256

     • SM4

       說明 KMS通過託管密碼機提供SM4演算法，詳情請參見託管密碼機概述。

  5. 選擇加密金鑰。

     您可以選擇KMS密鑰ID，使用指定的CMK產生不同的密鑰來加密不同的Object，具有解密許可權的使用者下載Object時會自動解密。選擇指定的密鑰ID前，需在Key Management Service控制台建立一個與Bucket相同地區的普通密鑰或外部金鑰。具體操作，請參見建立密鑰。

  6. 根據控制台提示完成其他參數設定。

     更多資訊，請參見建立儲存空間。

• 對已有Bucket進行加密

  1. 登入OSS管理主控台。

  2. 在左側導覽列，單擊Bucket列表。

  3. 單擊目標Bucket名稱。

  4. 在左側導覽列，選擇資料安全 > 伺服器端加密。

  5. 在伺服器端加密地區，單擊設定。

     1. 設定服務端加密方式為KMS。

     2. 選擇密碼編譯演算法。

        • AES256

        • SM4

          說明 KMS通過託管密碼機提供SM4演算法，詳情請參見託管密碼機概述。

     3. 選擇加密金鑰。

        您可以選擇KMS密鑰ID，使用指定的CMK產生不同的密鑰來加密不同的Object，具有解密許可權的使用者下載Object時會自動解密。選擇指定的密鑰ID前，需在Key Management Service控制台建立一個與Bucket相同地區的普通密鑰或外部金鑰。具體操作，請參見建立密鑰。

     4. 單擊儲存。

        重要

        開啟或修改Bucket預設加密方式不會對Bucket內已有檔案添加或修改加密方式。

加密Container ServiceKubernetes版ACK

在ACK Pro託管叢集中，您可以使用在KMS中建立的祕密金鑰加密Kubernetes Secret密鑰。

1. 登入Container Service管理主控台。

2. 在左側導覽列，單擊叢集。

3. 在叢集列表頁面，單擊頁面右上方的叢集模板。

4. 在選擇叢集模板對話方塊，選擇Pro託管叢集，然後單擊建立。

5. 在ACK託管版頁簽，找到Secret落盤加密，選中選擇KMS密鑰，在下拉式清單中選擇KMS密鑰ID。

6. 根據控制台提示完成其他參數設定。

   更多資訊，請參見建立ACK Pro版叢集。

加密雲資料庫RDS

雲資料庫RDS資料加密支援雲端硬碟加密和透明資料加密TDE。如下以雲資料庫RDS MySQL版的雲端硬碟加密為例，為您介紹加密RDS的方法。

1. 登入RDS執行個體建立頁面。

2. 在儲存類型地區，選擇SSD雲端硬碟或ESSD雲端硬碟，然後選中右側雲端硬碟加密。

3. 在密鑰地區下拉式清單中選擇KMS密鑰ID。

   

4. 根據控制台提示完成其他參數設定。

   更多資訊，請參見快速建立RDS MySQL執行個體。

加密更多雲端服務

更多雲端服務加密介紹，請參見支援服務端整合加密的雲端服務。