Apsara File Storage NAS支援伺服器端加密功能。當您對檔案儲存體有高安全性或者合規性要求時,建議您開啟伺服器端加密功能。開啟該功能後,NAS會對儲存在檔案系統中的資料進行加密,訪問資料時,NAS自動將加密資料解密後返回給使用者。本文介紹伺服器端加密的工作原理、支援的地區及相關操作。
使用限制
僅支援在建立檔案系統時開啟資料加密功能。
已開啟資料加密功能的檔案系統不能關閉此功能。
加密方式
當您對檔案儲存體有高安全性或者合規性要求時,建議您開啟伺服器端加密功能。伺服器端加密金鑰採用行業標準AES-256密碼編譯演算法,保護檔案系統待用資料,並通過信封加密機制防止未經授權的資料訪問。伺服器端加密金鑰依託於KMS服務產生和管理。KMS服務能最大程度保障密鑰的保密性、完整性和可用性。更多資訊,請參見使用KMS信封加密在本地加密和解密資料。
NAS針對不同使用情境提供了以下兩種伺服器端加密方式。
使用NAS託管密鑰免費。使用使用者管理密鑰會產生少量的KMS密鑰使用費用。更多資訊,請參見KMS計費說明。
NAS託管密鑰
使用NAS完全託管的祕密金鑰加密每個檔案系統。該密鑰由NAS在KMS(Key Management Service)服務中進行建立和管理,您可以查看密鑰並審計密鑰的使用許可權,但無法刪除、禁用該密鑰。
使用者管理密鑰
使用您託管給KMS服務的使用者管理金鑰組檔案系統進行加解密操作。當該密鑰被禁用或者刪除後,使用該密鑰進行加密的NAS檔案系統將不可訪問。使用者管理密鑰有以下兩種來源:
在KMS服務中建立的密鑰:您可以在KMS服務中建立使用者主要金鑰CMK(Customer Master Key),並對CMK進行配置和管理,包括啟用、禁用、刪除、密鑰輪轉等操作。
內建密鑰BYOK(Bring Your Own Key):為了滿足一些特定的安全需求,您可以將本地或其他途徑產生的內建密鑰BYOK匯入KMS,作為使用者主要金鑰CMK。具體操作,請參見匯入密鑰材料。
操作方式
在NAS控制台建立檔案系統時,根據使用情境配置加密方式為NAS託管密鑰或使用者管理密鑰。具體操作,請參見通過控制台建立通用型NAS檔案系統和通過控制台建立極速型NAS檔案系統。
支援地區
NAS託管祕密金鑰加密
通用型NAS:西南1(成都)、華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、華南3(廣州)、中國香港、菲律賓(馬尼拉)、泰國(曼穀)、馬來西亞(吉隆坡)、美國(矽谷)、印尼(雅加達)、日本(東京)、英國(倫敦)、新加坡、美國(維吉尼亞)、德國(法蘭克福)、澳大利亞(雪梨)。
極速型NAS:所有地區。
使用者管理祕密金鑰加密
通用型NAS:西南1(成都)、華北1(青島)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)、華南1(深圳)、華南3(廣州)、中國香港、日本(東京)、菲律賓(馬尼拉)、泰國(曼穀)、馬來西亞(吉隆坡)、美國(矽谷)、印尼(雅加達)、英國(倫敦)、新加坡、美國(維吉尼亞)、德國(法蘭克福)、澳大利亞(雪梨)、華東1 金融雲。
極速型NAS:所有地區。
相關問題
相關文檔
如果您想對傳輸中的資料進行加密,可以在掛載檔案系統時開啟傳輸加密,確保資料在傳輸過程中不被竊取或篡改。具體操作,請參見NFS協議檔案系統傳輸加密或SMB協議檔案系統傳輸加密。