全部產品
Search
文件中心

Key Management Service:支援整合KMS加密的雲產品

更新時間:Dec 10, 2024

本文介紹了當前支援整合KMS加密的阿里雲產品。

重要

如果您已購買的阿里雲產品支援整合KMS加密,且預設密鑰中的服務密鑰主要金鑰能滿足業務需求,則無需再單獨購買KMS執行個體。

工作負載資料加密

服務名稱

描述

相關文檔

Elastic Compute Service (ECS)

ECS雲端硬碟加密功能預設使用服務祕密金鑰加密使用者資料,也支援使用使用者自選祕密金鑰加密使用者資料。雲端硬碟的加密機制中,每一塊雲端硬碟(Disk)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

使用ECS雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行。在加密解密的過程中,雲端硬碟的效能幾乎沒有衰減。

建立加密雲端硬碟並將其掛載到ECS執行個體後,系統將對以下資料進行加密:

  • 雲端硬碟中的待用資料

  • 雲端硬碟和執行個體間傳輸的資料(執行個體作業系統內資料不加密)

  • 從加密雲端硬碟建立的所有快照(即加密快照)

加密概述

Container Service for Kubernetes (ACK)

Container Service中的以下兩類工作負載資料支援基於KMS的服務端加密:

  • Kubernetes Secrets

    在Kubernetes叢集中,我們通常使用Secrets密鑰模型儲存和管理業務應用涉及的敏感資訊。例如:應用密碼、TLS認證、Docker鏡像下載憑據等敏感資訊。Kubernetes會將所有的這些Secrets金鑰組象資料存放區在叢集對應的ETCD中。

  • 儲存卷

    儲存卷可以是雲端硬碟、OSS或者NAS卷。針對各類儲存卷,可以採用特定儲存類型的服務端KMS加密方式。例如:您可以建立一個加密雲端硬碟,隨後掛載為Kubernetes儲存卷。

使用阿里雲KMS進行Secret的落盤加密

Container Registry (ACR)

為了避免中間人攻擊和非法鏡像的更新及運行,ACR支援命名空間層級的自動加簽,每次推送容器鏡像後都會匹配加簽規則自動加簽,保障鏡像從分發到部署的全鏈路一致性。

使用容器鏡像加簽

Elastic Container Instance (ECI)

每個ECI Pod預設提供30 GiB(可自訂增加)的臨時儲存空間,用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。

加密臨時儲存空間

持久化儲存資料加密

服務名稱

描述

相關文檔

Object Storage Service (OSS)

OSS支援在伺服器端對上傳的資料進行加密(Server-Side Encryption):

  • 上傳資料時,OSS對收到的使用者資料進行加密,然後將得到的加密資料持久化儲存。

  • 下載資料時,OSS自動對儲存的加密資料進行解密並把未經處理資料返回給使用者。在返回的HTTP請求Header中,聲明該資料進行了伺服器端加密。

OSS在支援整合KMS之前就支援了SSE-OSS,即:使用OSS私人密鑰體系進行服務端加密。這種方式並不使用歸屬使用者的密鑰,因此使用者無法通過Action Trail服務審計密鑰使用方式。

OSS支援整合KMS進行服務端加密,稱之為SSE-KMS。OSS支援使用服務密鑰和使用者自選密鑰兩種方式進行服務端加密。OSS既支援在桶層級配置預設加密CMK,也支援在上傳每個對象時使用特定的CMK。

File Storage NAS

NAS的加密功能預設使用服務祕密金鑰加密使用者資料。NAS的加密機制中,每一卷(Volume)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

伺服器端加密

Tablestore

Table Store的加密功能預設使用服務密鑰為使用者的資料進行加密,同時也支援使用使用者自選密鑰為使用者的資料進行加密。Table Store的加密機制中,每一個表格(Table)會有相對應的使用者主要金鑰(CMK)和資料密鑰(DK),並通過信封加密機制對使用者資料進行加密。

Cloud Storage Gateway (CSG)

基於OSS對資料進行加密。

管理共用

Microservices Engine (MSE)

配置中心一般都以明文格式儲存配置資料。為了提升敏感性資料(如資料來源、Token、使用者名稱和密碼等)的安全性,MSE通過整合KMS的密鑰服務,提供了配置資料加解密能力,從而降低敏感性資料泄露的風險。

配置加密

資料庫加密

服務名稱

描述

相關文檔

ApsaraDB RDS

RDS資料加密提供以下兩種方式:

  • 雲端硬碟加密

    針對RDS雲端硬碟版執行個體,阿里雲免費提供雲端硬碟加密功能,基於Block Storage對整個資料盤進行加密。雲端硬碟加密使用的密鑰由KMS服務加密保護,RDS只在啟動執行個體和遷移執行個體時,動態讀取一次密鑰。

  • 透明資料加密TDE

    RDS提供MySQL和SQL Server的透明資料加密TDE(Transparent Data Encryption)功能。TDE加密使用的密鑰由KMS服務加密保護,RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。當RDS執行個體開啟TDE功能後,使用者可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置(磁碟、SSD、PCIe卡)或者服務(Object Storage Service)前都會進行加密,因此執行個體對應的資料檔案和備份都是以密文形式存在的。

ApsaraDB for MongoDB

提供透明資料加密TDE功能,加密方式和RDS類似。

設定透明資料加密TDE

PolarDB

OceanBase

開啟 TDE 透明加密

Tair (Redis OSS-compatible)

開啟透明資料加密TDE

Tair

開啟透明資料加密TDE

雲原生資料倉儲AnalyticDB

提供雲端硬碟加密功能,基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,保護您的資料安全。

ApsaraDB for ClickHouse

雲端硬碟加密

日誌資料加密

服務名稱

描述

相關文檔

ActionTrail

建立單帳號跟蹤或者多帳號跟蹤時,如果選擇投遞到OSS,可以在Action Trail控制台直接加密操作事件。

Simple Log Service (SLS)

Log Service支援通過KMS對資料進行加密儲存,提供資料靜態保護能力。

資料加密

巨量資料與人工智慧

服務名稱

描述

相關文檔

MaxCompute

MaxCompute支援使用服務密鑰或者自選KMS密鑰進行資料加密。

資料加密

Platform for AI

Machine Learning Platform for AI產品架構中,計算引擎、Container Service、資料存放區等各個資料流轉環節,相應的雲端服務均可以佈建服務端加密,保護資料的安全與隱私。

E-MapReduce

加密資料盤後,資料盤上的動態資料傳輸以及待用資料都會被加密。如果您的業務存在安全合規要求,則可以使用該功能。

開啟資料盤加密

更多情境

服務名稱

描述

相關文檔

內容分發網路CDN

當使用OSS Bucket作為來源站點時,可以使用基於OSS的服務端加密保護分發內容。

OSS私人Bucket回源

ApsaraVideo Media Processing (MPS)

MTS支援私人加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。

ApsaraVideo VOD

VOD支援阿里雲視頻加密和HLS標準加密兩種方式,均可以整合KMS對視頻內容進行保護。

Hologres

Hologres支援通過KMS對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。

資料存放區加密

ApsaraVideo Live

阿里雲視頻加密是對視頻資料加密,即使下載到本地,視頻本身也是被加密的,無法惡意二次分發。視頻加密可有效防止視頻泄露和盜鏈問題,廣泛用於線上教育、財經金融、行業培訓、獨播劇等線上著作權視頻領域。

阿里雲視頻加密

無影雲電腦企業版

在建立雲電腦的過程中支援為雲電腦的系統硬碟和資料盤設定磁碟加密。

建立雲電腦