當前支援整合KMS加密的阿里雲產品有哪些 - Key Management Service

本文介紹了當前支援整合KMS加密的阿里雲產品。

重要

如果您已購買的阿里雲產品支援整合KMS加密，且預設密鑰中的服務密鑰或主要金鑰能滿足業務需求，則無需再單獨購買KMS執行個體。

工作負載資料加密

服務名稱

描述

相關文檔

Elastic Compute Service (ECS)

ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料，也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中，每一塊雲端硬碟（Disk）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。

使用ECS雲端硬碟加密功能，系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密，並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中，雲端硬碟的效能幾乎沒有衰減。

建立加密雲端硬碟並將其掛載到ECS執行個體後，系統將對以下資料進行加密：

雲端硬碟中的待用資料
雲端硬碟和執行個體間傳輸的資料（執行個體作業系統內資料不加密）
從加密雲端硬碟建立的所有快照（即加密快照）

加密概述

Container Service for Kubernetes (ACK)

Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密：

Kubernetes Secrets
在Kubernetes叢集中，我們通常使用Secrets密鑰模型儲存和管理業務應用涉及的敏感資訊。例如：應用密碼、TLS認證、Docker鏡像下載憑據等敏感資訊。Kubernetes會將所有的這些Secrets金鑰組象資料存放區在叢集對應的ETCD中。
儲存卷
儲存卷可以是雲端硬碟、OSS、或者NAS卷。針對各類儲存卷，可以採用特定儲存類型的服務端KMS加密方式。例如：您可以建立一個加密雲端硬碟，隨後掛載為Kubernetes儲存卷。

使用阿里雲KMS進行Secret的落盤加密

持久化儲存資料加密

服務名稱	描述	相關文檔
Object Storage Service (OSS)	OSS支援在伺服器端對上傳的資料進行加密（Server-Side Encryption）：上傳資料時，OSS對收到的使用者資料進行加密，然後將得到的加密資料持久化儲存。下載資料時，OSS自動對儲存的加密資料進行解密並把未經處理資料返回給使用者。在返回的HTTP請求Header中，聲明該資料進行了伺服器端加密。 OSS在支援整合KMS之前就支援了SSE-OSS，即：使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰，因此使用者無法通過Action Trail服務審計密鑰使用方式。 OSS支援整合KMS進行服務端加密，稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK，也支援在上傳每個對象時使用特定的CMK。	伺服器端加密 SDK參考
Apsara File Storage NAS	NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中，每一卷（Volume）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。	伺服器端加密
Tablestore	Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密，同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中，每一個表格（Table）會有相對應的使用者主要金鑰（CMK）和資料密鑰（DK），並通過信封加密機制對使用者資料進行加密。	無
Cloud Storage Gateway (CSG)	Cloud Storage GatewayCSG支援兩種方式進行加密：網關側加密：檔案會在網關側緩衝盤進行加密後上傳至OSS。基於OSS對資料進行加密。	網關側加密管理共用
Microservices Engine (MSE)	配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料（如資料來源、Token、使用者名稱和密碼等）的安全性，MSE通過整合KMS的密鑰服務，提供了配置資料加解密能力，從而降低敏感性資料的泄露風險。	配置加密

資料庫加密

服務名稱	描述	相關文檔
ApsaraDB RDS	RDS資料加密提供以下兩種方式：雲端硬碟加密針對RDS雲端硬碟版執行個體，阿里雲免費提供雲端硬碟加密功能，基於Block Storage對整個資料盤進行加密。雲端硬碟加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時，動態讀取一次密鑰。透明資料加密TDE RDS提供MySQL和SQL Server的透明資料加密TDE（Transparent Data Encryption）功能。TDE加密使用的密鑰由KMS服務加密保護，RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。當RDS執行個體開啟TDE功能後，使用者可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置（磁碟、SSD、PCIe卡）或者服務（Object Storage Service）前都會進行加密，因此執行個體對應的資料檔案和備份都是以密文形式存在的。	MySQL：雲端硬碟加密、設定透明資料加密TDE SQL Server：雲端硬碟加密、設定透明資料加密TDE PostgreSQL：雲端硬碟加密
ApsaraDB for MongoDB	提供透明資料加密TDE功能，加密方式和RDS類似。	設定透明資料加密TDE
PolarDB		PolarDB MySQL：設定透明資料加密TDE PolarDB O引擎：設定透明資料加密TDE PolarDB PostgreSQL：設定透明資料加密TDE
OceanBase		TDE 透明加密
ApsaraDB for Redis		開啟透明資料加密TDE

日誌資料加密

服務名稱	描述	相關文檔
ActionTrail	建立單帳號跟蹤或者多帳號跟蹤時，如果選擇投遞到OSS，可以在Action Trail控制台直接加密操作事件。	建立單帳號跟蹤建立多帳號跟蹤
Simple Log Service (SLS)	Log Service支援通過KMS對資料進行加密儲存，提供資料靜態保護能力。	資料加密

巨量資料與人工智慧

服務名稱	描述	相關文檔
MaxCompute	MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。	資料加密
Platform for AI	Machine Learning Platform for AI產品架構中，計算引擎、Container Service、資料存放區等各個資料流轉環節，相應的雲端服務均可以佈建服務端加密，保護資料的安全與隱私。	無

服務名稱	描述	相關文檔
內容分發網路CDN	當使用OSS Bucket作為來源站點時，可以使用基於OSS的服務端加密保護分發內容。	OSS私人Bucket回源
ApsaraVideo Media Processing (MPS)	MTS支援私人加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。	無
ApsaraVideo VOD	VOD支援阿里雲視頻加密和HLS標準加密兩種方式，均可以整合KMS對視頻內容進行保護。	阿里雲視頻加密（私人加密） HLS標準加密

Key Management Service：支援整合KMS加密的雲產品