Key Management Service：支援整合KMS加密的雲產品

服務名稱

描述

相關文檔

Elastic Compute Service (ECS)

ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料，也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中，每一塊雲端硬碟（Disk）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。

使用ECS雲端硬碟加密功能，系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密，並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中，雲端硬碟的效能幾乎沒有衰減。

加密概述

Container Service for Kubernetes (ACK)

Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密：

• Kubernetes Secrets

  在Kubernetes叢集中，我們通常使用Secrets密鑰模型儲存和管理業務應用涉及的敏感資訊。例如：應用密碼、TLS認證、Docker鏡像下載憑據等敏感資訊。Kubernetes會將所有的這些Secrets金鑰組象資料存放區在叢集對應的ETCD中。

• 儲存卷

  儲存卷可以是雲端硬碟、OSS或者NAS卷。針對各類儲存卷，可以採用特定儲存類型的服務端KMS加密方式。例如：您可以建立一個加密雲端硬碟，隨後掛載為Kubernetes儲存卷。

使用阿里雲KMS進行Secret的落盤加密

Container Registry (ACR)

為了避免中間人攻擊和非法鏡像的更新及運行，ACR支援命名空間層級的自動加簽，每次推送容器鏡像後都會匹配加簽規則自動加簽，保障鏡像從分發到部署的全鏈路一致性。

使用容器鏡像加簽

Elastic Container Instance (ECI)

每個ECI Pod預設提供30 GiB（可自訂增加）的臨時儲存空間，用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊，需要遵守合規要求等，可以開啟臨時儲存空間加密功能，以保證資料安全性和完整性，防止未經授權的訪問和資料泄露。

加密臨時儲存空間

服務名稱

描述

相關文檔

Object Storage Service (OSS)

OSS在支援整合KMS之前就支援了SSE-OSS，即：使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰，因此使用者無法通過Action Trail服務審計密鑰使用方式。

OSS支援整合KMS進行服務端加密，稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK，也支援在上傳每個對象時使用特定的CMK。

• 伺服器端加密

• SDK參考

File Storage NAS

NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中，每一卷（Volume）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。

伺服器端加密

Tablestore

Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密，同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中，每一個表格（Table）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。

無

Cloud Storage Gateway (CSG)

• 網關側加密

• 管理共用

Microservices Engine (MSE)

配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料（如資料來源、Token、使用者名稱和密碼等）的安全性，MSE通過整合KMS的密鑰服務，提供了配置資料加解密能力，從而降低敏感性資料的泄露風險。

配置加密

服務名稱

描述

相關文檔

ApsaraDB RDS

RDS資料加密提供以下兩種方式：

• 雲端硬碟加密

  針對RDS雲端硬碟版執行個體，阿里雲免費提供雲端硬碟加密功能，基於Block Storage對整個資料盤進行加密。雲端硬碟加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時，動態讀取一次密鑰。

• 透明資料加密TDE

  RDS提供MySQL和SQL Server的透明資料加密TDE（Transparent Data Encryption）功能。TDE加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。當RDS執行個體開啟TDE功能後，使用者可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置（磁碟、SSD、PCIe卡）或者服務（Object Storage Service）前都會進行加密，因此執行個體對應的資料檔案和備份都是以密文形式存在的。

• MySQL：雲端硬碟加密、設定透明資料加密TDE

• SQL Server：雲端硬碟加密、設定透明資料加密TDE

• PostgreSQL：雲端硬碟加密

ApsaraDB for MongoDB

提供透明資料加密TDE功能，加密方式和RDS類似。

設定透明資料加密TDE

PolarDB

• PolarDB MySQL：設定透明資料加密TDE

• PolarDB O引擎：設定透明資料加密TDE

• PolarDB PostgreSQL：設定透明資料加密TDE

OceanBase

開啟 TDE 透明加密

Tair (Redis OSS-compatible)

開啟透明資料加密TDE

Tair

開啟透明資料加密TDE

雲原生資料倉儲AnalyticDB

提供雲端硬碟加密功能，基於Block Storage對整個資料盤進行加密，即使資料備份泄露也無法解密，保護您的資料安全。

• MySQL版：雲端硬碟加密

• PostgreSQL版：雲端硬碟加密

ApsaraDB for ClickHouse

雲端硬碟加密

服務名稱

描述

相關文檔

ActionTrail

建立單帳號跟蹤或者多帳號跟蹤時，如果選擇投遞到OSS，可以在Action Trail控制台直接加密操作事件。

• 建立單帳號跟蹤

• 建立多帳號跟蹤

Simple Log Service (SLS)

Log Service支援通過KMS對資料進行加密儲存，提供資料靜態保護能力。

資料加密

服務名稱

描述

相關文檔

MaxCompute

MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。

資料加密

Platform for AI

Machine Learning Platform for AI產品架構中，計算引擎、Container Service、資料存放區等各個資料流轉環節，相應的雲端服務均可以佈建服務端加密，保護資料的安全與隱私。

無

E-MapReduce

加密資料盤後，資料盤上的動態資料傳輸以及待用資料都會被加密。如果您的業務存在安全合規要求，則可以使用該功能。

開啟資料盤加密

服務名稱

描述

相關文檔

內容分發網路CDN

當使用OSS Bucket作為來源站點時，可以使用基於OSS的服務端加密保護分發內容。

OSS私人Bucket回源

ApsaraVideo Media Processing (MPS)

MTS支援私人加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。

無

ApsaraVideo VOD

VOD支援阿里雲視頻加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。

• 阿里雲視頻加密（私人加密）

• HLS標準加密

Hologres

Hologres支援通過KMS對資料進行加密儲存，提供資料靜態保護能力，滿足企業監管和安全合規需求。

資料存放區加密

ApsaraVideo Live

阿里雲視頻加密是對視頻資料加密，即使下載到本地，視頻本身也是被加密的，無法惡意二次分發。視頻加密可有效防止視頻泄露和盜鏈問題，廣泛用於線上教育、財經金融、行業培訓、獨播劇等線上著作權視頻領域。

阿里雲視頻加密

無影雲電腦企業版

在建立雲電腦的過程中支援為雲電腦的系統硬碟和資料盤設定磁碟加密。

建立雲電腦