本文介紹了當前支援整合KMS加密的阿里雲產品。
如果您已購買的阿里雲產品支援整合KMS加密,且預設密鑰中的服務密鑰或主要金鑰能滿足業務需求,則無需再單獨購買KMS執行個體。
工作負載資料加密
服務名稱 | 描述 | 相關文檔 |
Elastic Compute Service (ECS) | ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料,也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中,每一塊雲端硬碟(Disk)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 使用ECS雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中,雲端硬碟的效能幾乎沒有衰減。 建立加密雲端硬碟並將其掛載到ECS執行個體後,系統將對以下資料進行加密:
| |
Container Service for Kubernetes (ACK) | Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密:
|
持久化儲存資料加密
服務名稱 | 描述 | 相關文檔 |
Object Storage Service (OSS) | OSS支援在伺服器端對上傳的資料進行加密(Server-Side Encryption):
OSS在支援整合KMS之前就支援了SSE-OSS,即:使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰,因此使用者無法通過Action Trail服務審計密鑰使用方式。 OSS支援整合KMS進行服務端加密,稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK,也支援在上傳每個對象時使用特定的CMK。 | |
Apsara File Storage NAS | NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中,每一卷(Volume)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | |
Tablestore | Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密,同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中,每一個表格(Table)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。 | 無 |
Cloud Storage Gateway (CSG) | Cloud Storage GatewayCSG支援兩種方式進行加密:
| |
Microservices Engine (MSE) | 配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料(如資料來源、Token、使用者名稱和密碼等)的安全性,MSE通過整合KMS的密鑰服務,提供了配置資料加解密能力,從而降低敏感性資料的泄露風險。 |
資料庫加密
服務名稱 | 描述 | 相關文檔 |
ApsaraDB RDS | RDS資料加密提供以下兩種方式:
|
|
ApsaraDB for MongoDB | 提供透明資料加密TDE功能,加密方式和RDS類似。 | |
PolarDB |
| |
OceanBase | ||
ApsaraDB for Redis |
日誌資料加密
服務名稱 | 描述 | 相關文檔 |
ActionTrail | 建立單帳號跟蹤或者多帳號跟蹤時,如果選擇投遞到OSS,可以在Action Trail控制台直接加密操作事件。 | |
Simple Log Service (SLS) | Log Service支援通過KMS對資料進行加密儲存,提供資料靜態保護能力。 |
巨量資料與人工智慧
服務名稱 | 描述 | 相關文檔 |
MaxCompute | MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。 | |
Platform for AI | Machine Learning Platform for AI產品架構中,計算引擎、Container Service、資料存放區等各個資料流轉環節,相應的雲端服務均可以佈建服務端加密,保護資料的安全與隱私。 | 無 |
更多情境
服務名稱 | 描述 | 相關文檔 |
內容分發網路CDN | 當使用OSS Bucket作為來源站點時,可以使用基於OSS的服務端加密保護分發內容。 | |
ApsaraVideo Media Processing (MPS) | MTS支援私人加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 | 無 |
ApsaraVideo VOD | VOD支援阿里雲視頻加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。 |