全部產品
Search

搜尋本產品

    Key Management Service:支援整合KMS加密的雲產品

    文件中心

    Key Management Service:支援整合KMS加密的雲產品

    更新時間:Jan 28, 2026

    本文介紹了當前支援整合KMS加密的阿里雲產品。

    重要

    如果您已購買的阿里雲產品支援整合KMS加密,且預設密鑰中的服務密鑰主要金鑰能滿足業務需求,則無需再單獨購買KMS執行個體。

    工作負載資料加密

    服務名稱

    描述

    相關文檔

    Elastic Compute Service (ECS)

    ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料,也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中,每一塊雲端硬碟(Disk)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

    使用ECS雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中,雲端硬碟的效能幾乎沒有衰減。

    建立加密雲端硬碟並將其掛載到ECS執行個體後,系統將對以下資料進行加密:

    • 雲端硬碟中的待用資料

    • 雲端硬碟和執行個體間傳輸的資料(執行個體作業系統內資料不加密)

    • 從加密雲端硬碟建立的所有快照(即加密快照)

    加密概述

    Container Service for Kubernetes (ACK)

    Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密:

    • Kubernetes Secrets

      在Kubernetes叢集中,我們通常使用Secrets密鑰模型儲存和管理業務應用涉及的敏感資訊。例如:應用密碼、TLS認證、Docker鏡像下載憑據等敏感資訊。Kubernetes會將所有的這些Secrets金鑰組象資料存放區在叢集對應的ETCD中。

    • 儲存卷

      儲存卷可以是雲端硬碟、OSS或者NAS卷。針對各類儲存卷,可以採用特定儲存類型的服務端KMS加密方式。例如:您可以建立一個加密雲端硬碟,隨後掛載為Kubernetes儲存卷。

    使用阿里雲KMS進行Secret的落盤加密

    Container Registry (ACR)

    為了避免中間人攻擊和非法鏡像的更新及運行,ACR支援命名空間層級的自動加簽,每次推送容器鏡像後都會匹配加簽規則自動加簽,保障鏡像從分發到部署的全鏈路一致性。

    使用容器鏡像加簽

    Elastic Container Instance (ECI)

    每個ECI Pod預設提供30 GiB(可自訂增加)的臨時儲存空間,用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。

    加密臨時儲存空間

    持久化儲存資料加密

    服務名稱

    描述

    相關文檔

    Object Storage Service (OSS)

    • OSS支援在伺服器端對上傳的資料進行加密(Server-Side Encryption):

      • 上傳資料:OSS對收到的使用者資料進行加密,然後將得到的加密資料持久化儲存。

      • 下載資料:OSS自動對儲存的加密資料進行解密並把未經處理資料返回給使用者。在返回的HTTP請求Header中,聲明該資料進行了伺服器端加密。

    • OSS提供兩種伺服器端加密方式:

      • 由OSS完全託管密鑰的加密(SSE-OSS)

        這是OSS早期的加密方式。它使用OSS私人密鑰體系對資料進行加密。配置簡單,無需額外操作。

        重要

        由於密鑰由OSS內部管理,使用者無法在Action Trail(ActionTrail)中追蹤和審計密鑰的使用方式。

      • 使用Key Management Service加密(SSE-KMS)

        它整合了阿里雲Key Management Service(KMS),利用KMS來產生和管理加密金鑰,提供了更進階別的安全性和合規性。

        • SSE-KMS支援以下兩種密鑰:

          • KMS服務密鑰:由KMS為OSS自動建立和管理的預設密鑰。使用者無需自行建立,簡化了使用流程。

          • 使用者主要金鑰(CMK):使用者在KMS中自行建立和管理的密鑰。使用CMK可以實現對密鑰生命週期(如建立、禁用、輪轉)的完全控制,並能通過Action Trail服務追蹤所有對該密鑰的使用記錄,滿足安全合規要求。

            說明

            由RD帳號共用執行個體建立的密鑰,也可用於OSS加密。更多說明,請參見多帳號共用KMS執行個體

        • 配置方式

          SSE-KMS提供了靈活的加密策略配置:

          • 儲存空間(Bucket)層級:為整個儲存空間(Bucket)設定預設加密的CMK。

          • 對象(Object)層級:上傳單個對象(Object)時指定特定的CMK,可覆蓋儲存空間的預設設定。

    File Storage NAS

    NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中,每一卷(Volume)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

    伺服器端加密

    Tablestore

    Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密,同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中,每一個表格(Table)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

    Cloud Storage Gateway (CSG)

    基於OSS對資料進行加密。

    管理共用

    Microservices Engine (MSE)

    配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料(如資料來源、Token、使用者名稱和密碼等)的安全性,MSE通過整合KMS的密鑰服務,提供了配置資料加解密能力,從而降低敏感性資料泄露的風險。

    配置加密

    資料庫加密

    服務名稱

    描述

    相關文檔

    ApsaraDB RDS

    RDS資料加密提供以下兩種方式:

    • 雲端硬碟加密

      針對RDS雲端硬碟版執行個體,阿里雲免費提供雲端硬碟加密功能,基於Block Storage對整個資料盤進行加密。雲端硬碟加密使用的密鑰由KMS服務加密保護,RDS只在啟動執行個體和遷移執行個體時,動態讀取一次密鑰。

    • 透明資料加密TDE

      RDS提供MySQL和SQL Server的透明資料加密TDE(Transparent Data Encryption)功能。TDE加密使用的密鑰由KMS服務加密保護,RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。當RDS執行個體開啟TDE功能後,使用者可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置(磁碟、SSD、PCIe卡)或者服務(Object Storage Service)前都會進行加密,因此執行個體對應的資料檔案和備份都是以密文形式存在的。

    ApsaraDB for MongoDB

    提供透明資料加密TDE功能,加密方式和RDS類似。

    設定透明資料加密TDE

    PolarDB

    OceanBase

    開啟 TDE 透明加密

    Tair (Redis OSS-compatible)

    開啟透明資料加密TDE

    Tair

    開啟透明資料加密TDE

    雲原生資料倉儲AnalyticDB

    提供雲端硬碟加密功能,基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,保護您的資料安全。

    ApsaraDB for ClickHouse

    雲端硬碟加密

    日誌資料加密

    服務名稱

    描述

    相關文檔

    ActionTrail

    建立單帳號跟蹤或者多帳號跟蹤時,如果選擇投遞到OSS,可以在Action Trail控制台直接加密操作事件。

    Simple Log Service (SLS)

    Log Service支援通過KMS對資料進行加密儲存,提供資料靜態保護能力。

    資料加密

    巨量資料與人工智慧

    服務名稱

    描述

    相關文檔

    MaxCompute

    MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。

    資料加密

    Platform for AI

    Machine Learning Platform for AI產品架構中,計算引擎、Container Service、資料存放區等各個資料流轉環節,相應的雲端服務均可以佈建服務端加密,保護資料的安全與隱私。

    E-MapReduce

    加密資料盤後,資料盤上的動態資料傳輸以及待用資料都會被加密。如果您的業務存在安全合規要求,則可以使用該功能。

    開啟資料盤加密

    更多情境

    服務名稱

    描述

    相關文檔

    內容分發網路CDN

    當使用OSS Bucket作為來源站點時,可以使用基於OSS的服務端加密保護分發內容。

    OSS私人Bucket回源

    ApsaraVideo Media Processing (MPS)

    MTS支援私人加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。

    ApsaraVideo VOD

    VOD支援阿里雲視頻加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。

    Hologres

    Hologres支援通過KMS對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。

    資料存放區加密

    ApsaraVideo Live

    阿里雲視頻加密是對視頻資料加密,即使下載到本地,視頻本身也是被加密的,無法惡意二次分發。視頻加密可有效防止視頻泄露和盜鏈問題,廣泛用於線上教育、財經金融、行業培訓、獨播劇等線上著作權視頻領域。

    阿里雲視頻加密

    無影雲電腦企業版

    在建立雲電腦的過程中支援為雲電腦的系統硬碟和資料盤設定磁碟加密。

    建立雲電腦