本文介紹了當前支援整合KMS加密的阿里雲產品。
如果您已購買的阿里雲產品支援整合KMS加密,且預設密鑰中的服務密鑰或主要金鑰能滿足業務需求,則無需再單獨購買KMS執行個體。
工作負載資料加密
服務名稱 | 描述 | 相關文檔 |
Elastic Compute Service (ECS) | ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料,也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中,每一塊雲端硬碟(Disk)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 使用ECS雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中,雲端硬碟的效能幾乎沒有衰減。 建立加密雲端硬碟並將其掛載到ECS執行個體後,系統將對以下資料進行加密:
| |
Container Service for Kubernetes (ACK) | Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密:
| |
Container Registry (ACR) | 為了避免中間人攻擊和非法鏡像的更新及運行,ACR支援命名空間層級的自動加簽,每次推送容器鏡像後都會匹配加簽規則自動加簽,保障鏡像從分發到部署的全鏈路一致性。 | |
Elastic Container Instance (ECI) | 每個ECI Pod預設提供30 GiB(可自訂增加)的臨時儲存空間,用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。 |
持久化儲存資料加密
服務名稱 | 描述 | 相關文檔 |
Object Storage Service (OSS) | OSS支援在伺服器端對上傳的資料進行加密(Server-Side Encryption):
OSS在支援整合KMS之前就支援了SSE-OSS,即:使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰,因此使用者無法通過Action Trail服務審計密鑰使用方式。 OSS支援整合KMS進行服務端加密,稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK,也支援在上傳每個對象時使用特定的CMK。 | |
File Storage NAS | NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中,每一卷(Volume)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | |
Tablestore | Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密,同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中,每一個表格(Table)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | 無 |
Cloud Storage Gateway (CSG) | 基於OSS對資料進行加密。 | |
Microservices Engine (MSE) | 配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料(如資料來源、Token、使用者名稱和密碼等)的安全性,MSE通過整合KMS的密鑰服務,提供了配置資料加解密能力,從而降低敏感性資料泄露的風險。 |
資料庫加密
服務名稱 | 描述 | 相關文檔 |
ApsaraDB RDS | RDS資料加密提供以下兩種方式:
|
|
ApsaraDB for MongoDB | 提供透明資料加密TDE功能,加密方式和RDS類似。 | |
PolarDB |
| |
OceanBase | ||
Tair (Redis OSS-compatible) | ||
Tair | ||
雲原生資料倉儲AnalyticDB | 提供雲端硬碟加密功能,基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,保護您的資料安全。 | |
ApsaraDB for ClickHouse |
日誌資料加密
服務名稱 | 描述 | 相關文檔 |
ActionTrail | 建立單帳號跟蹤或者多帳號跟蹤時,如果選擇投遞到OSS,可以在Action Trail控制台直接加密操作事件。 | |
Simple Log Service (SLS) | Log Service支援通過KMS對資料進行加密儲存,提供資料靜態保護能力。 |
巨量資料與人工智慧
服務名稱 | 描述 | 相關文檔 |
MaxCompute | MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。 | |
Platform for AI | Machine Learning Platform for AI產品架構中,計算引擎、Container Service、資料存放區等各個資料流轉環節,相應的雲端服務均可以佈建服務端加密,保護資料的安全與隱私。 | 無 |
E-MapReduce | 加密資料盤後,資料盤上的動態資料傳輸以及待用資料都會被加密。如果您的業務存在安全合規要求,則可以使用該功能。 |
更多情境
服務名稱 | 描述 | 相關文檔 |
內容分發網路CDN | 當使用OSS Bucket作為來源站點時,可以使用基於OSS的服務端加密保護分發內容。 | |
ApsaraVideo Media Processing (MPS) | MTS支援私人加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 | 無 |
ApsaraVideo VOD | VOD支援阿里雲視頻加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 | |
Hologres | Hologres支援通過KMS對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。 | |
ApsaraVideo Live | 阿里雲視頻加密是對視頻資料加密,即使下載到本地,視頻本身也是被加密的,無法惡意二次分發。視頻加密可有效防止視頻泄露和盜鏈問題,廣泛用於線上教育、財經金融、行業培訓、獨播劇等線上著作權視頻領域。 | |
無影雲電腦企業版 | 在建立雲電腦的過程中支援為雲電腦的系統硬碟和資料盤設定磁碟加密。 |