Log Service支援通過Key Management Service(Key Management Service)對資料進行加密儲存,提供資料靜態保護能力。Log Service同時支援基於SSL/TLS的HTTPS加密傳輸,有效防止資料在雲端的潛在安全風險。
伺服器端加密
Log Service支援如下兩種加密類型機制:
通過Log Service內建的服務祕密金鑰加密
Log Service為每個Logstore產生獨立的資料加密金鑰,用於資料加密。該加密金鑰永不到期。
支援的資料加密演算法為AES演算法(預設)和國密演算法SM4。
通過使用者內建密鑰(BYOK)加密
您可以在KMS控制台上建立主要金鑰CMK,並授權Log Service相應的許可權。Log Service調用KMS介面時,使用該CMK建立用於資料加密的密鑰。當您的主要金鑰CMK被刪除或禁用後,BYOK密鑰失效。
重要由KMS BYOK產生的主要金鑰(CMK)失效後,Logstore上的所有讀寫請求都會失敗。
具體操作,請參見資料加密。
基於SSL/TLS的HTTPS加密傳輸
Log Service支援通過HTTP或HTTPS的方式訪問。安全傳輸層協議(SSL/TLS)用於在兩個通訊應用程式之間提供保密性和資料完整性。
- Logtail加密傳輸
Logtail是Log Service提供的日誌採集Agent。為保證您的資料在發送過程中不會被篡改,Logtail會通過HTTPS通道從服務端擷取私密Token,並對所有發送日誌的資料包進行資料簽名,以保障相關安全性。
- SDK加密傳輸
為了能讓您更高效地使用Log Service,Log Service提供Java、Python、.NET、PHP、C等多種語言SDK。多語言SDK均支援使用HTTPS協議向Log Service讀寫資料。