云服务通过使用服务托管密钥或者用户自选密钥(包括BYOK-自带密钥)对不同场景和类型的数据进行加密保护。本文介绍了当前支持服务端集成加密的云服务。
如果您购买了支持服务端集成加密的云服务,需要使用服务托管密钥或者用户自选密钥(包括BYOK-自带密钥)对数据进行加密保护时,无需再单独购买专属KMS。
工作负载数据加密
服务名称 | 描述 | 相关文档 |
云服务器ECS | ECS云盘加密功能默认使用服务密钥加密用户数据,也支持使用用户自选密钥加密用户数据。云盘的加密机制中,每一块云盘(Disk)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行。在加密解密的过程中,云盘的性能几乎没有衰减。 在创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
| |
容器服务Kubernetes版ACK | 容器服务中的以下两类工作负载数据支持基于KMS的服务端加密:
| |
Web应用托管服务Web+ | Web+使用KMS对应用托管服务中使用的敏感配置数据进行加密保护,这包含了类似RDS数据库的访问凭证等机密信息。 | 无 |
持久化存储数据加密
服务名称 | 描述 | 相关文档 |
对象存储OSS | OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption):
OSS在支持集成KMS之前就支持了SSE-OSS,即:使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥,因此用户无法通过操作审计服务审计密钥使用情况。 OSS支持集成KMS进行服务端加密,称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。OSS既支持在桶级别配置默认加密CMK,也支持在上传每个对象时使用特定的CMK。 | |
文件存储NAS | NAS的加密功能默认使用服务密钥对用户的数据进行加密。NAS的加密机制中,每一卷(Volume)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | |
表格存储Tablestore | 表格存储的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中,每一个表格(Table)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | 无 |
云存储网关CSG | 基于OSS对数据进行加密。 |
数据库加密
服务名称 | 描述 | 相关文档 |
关系型数据库RDS | RDS数据加密提供以下两种方式:
|
|
云数据库MongoDB | 提供透明数据加密TDE功能,加密方式和RDS类似。 | |
云数据库PolarDB | 提供透明数据加密TDE功能,加密方式和RDS类似。 |
|
云数据库 OceanBase | 提供透明数据加密TDE功能,加密方式和RDS类似。 | |
云数据库 Tair(兼容 Redis) | 提供透明数据加密TDE功能,加密方式和RDS类似。 |
日志数据加密
服务名称 | 描述 | 相关文档 |
操作审计Actiontrail | 创建单账号跟踪或者多账号跟踪时,如果选择投递到OSS,可以在操作审计控制台直接加密操作事件。 | |
日志服务 SLS | 日志服务支持通过KMS对数据进行加密存储,提供数据静态保护能力。 |
大数据与人工智能
服务名称 | 描述 | 相关文档 |
大数据计算MaxCompute | MaxCompute支持使用服务密钥或者自选KMS密钥进行数据加密。 | |
机器学习PAI | 机器学习PAI产品架构中,计算引擎、容器服务、数据存储等各个数据流转环节,相应的云服务均可以配置服务端加密,保护数据的安全与隐私。 | 无 |
更多场景
服务名称 | 描述 | 相关文档 |
内容分发网络CDN | 当使用OSS Bucket作为源站时,可以使用基于OSS的服务端加密保护分发内容。请参考CDN文档,配置CDN访问加密Bucket。 | |
媒体处理MTS | MTS支持私有加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 | 无 |
视频点播VOD | VOD支持阿里云视频加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 |