密钥管理服务：支持集成KMS加密的云产品

服务名称

描述

相关文档

云服务器 ECS（Elastic Compute Service）

ECS云盘加密功能默认使用服务密钥加密用户数据，也支持使用用户自选密钥加密用户数据。云盘的加密机制中，每一块云盘（Disk）会有相对应的用户主密钥（CMK）和数据密钥（DK），并通过信封加密机制对用户数据进行加密。

使用ECS云盘加密功能，系统会将从ECS实例传输到云盘的数据自动进行加密，并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行。在加密解密的过程中，云盘的性能几乎没有衰减。

加密概述

容器服务 Kubernetes 版 ACK（Container Service for Kubernetes）

容器服务中的以下两类工作负载数据支持基于KMS的服务端加密：

• Kubernetes Secrets

  在Kubernetes集群中，我们通常使用Secrets密钥模型存储和管理业务应用涉及的敏感信息。例如：应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets密钥对象数据存储在集群对应的ETCD中。

• 存储卷

  存储卷可以是云盘、OSS或者NAS卷。针对各类存储卷，可以采用特定存储类型的服务端KMS加密方式。例如：您可以创建一个加密云盘，随后挂载为Kubernetes存储卷。

使用阿里云KMS进行Secret的落盘加密

容器镜像服务 ACR（Container Registry）

为了避免中间人攻击和非法镜像的更新及运行，ACR支持命名空间级别的自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障镜像从分发到部署的全链路一致性。

使用容器镜像加签

弹性容器实例 ECI（Elastic Container Instance）

每个ECI Pod默认提供30 GiB（可自定义增加）的临时存储空间，用于存放Pod启动使用的容器镜像以及运行Pod产生的业务数据等。如果您的镜像和业务数据带有敏感信息，需要遵守合规要求等，可以开启临时存储空间加密功能，以保证数据安全性和完整性，防止未经授权的访问和数据泄露。

加密临时存储空间

服务名称

描述

相关文档

对象存储 OSS（Object Storage Service）

OSS在支持集成KMS之前就支持了SSE-OSS，即：使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥，因此用户无法通过操作审计服务审计密钥使用情况。

OSS支持集成KMS进行服务端加密，称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。OSS既支持在桶级别配置默认加密CMK，也支持在上传每个对象时使用特定的CMK。

• 服务器端加密

• SDK参考

文件存储 NAS（File Storage NAS）

NAS的加密功能默认使用服务密钥加密用户数据。NAS的加密机制中，每一卷（Volume）会有相对应的用户主密钥（CMK）和数据密钥（DK），并通过信封加密机制对用户数据进行加密。

服务器端加密

表格存储（Tablestore）

表格存储的加密功能默认使用服务密钥为用户的数据进行加密，同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中，每一个表格（Table）会有相对应的用户主密钥（CMK）和数据密钥（DK），并通过信封加密机制对用户数据进行加密。

无

云存储网关 CSG（Cloud Storage Gateway）

• 网关侧加密

• 管理共享

微服务引擎 MSE（Microservices Engine）

配置中心一般都以明文格式存储配置数据。为了提升敏感数据（如数据源、Token、用户名和密码等）的安全性，MSE通过集成KMS的密钥服务，提供了配置数据加解密能力，从而降低敏感数据的泄露风险。

配置加密

服务名称

描述

相关文档

云数据库 RDS（ApsaraDB RDS）

RDS数据加密提供以下两种方式：

• 云盘加密

  针对RDS云盘版实例，阿里云免费提供云盘加密功能，基于块存储对整个数据盘进行加密。云盘加密使用的密钥由KMS服务加密保护，RDS只在启动实例和迁移实例时，动态读取一次密钥。

• 透明数据加密TDE

  RDS提供MySQL和SQL Server的透明数据加密TDE（Transparent Data Encryption）功能。TDE加密使用的密钥由KMS服务加密保护，RDS只在启动实例和迁移实例时动态读取一次密钥。当RDS实例开启TDE功能后，用户可以指定参与加密的数据库或者表。这些数据库或者表中的数据在写入到任何设备（磁盘、SSD、PCIe卡）或者服务（对象存储OSS）前都会进行加密，因此实例对应的数据文件和备份都是以密文形式存在的。

• MySQL：云盘加密、设置透明数据加密TDE

• SQL Server：云盘加密、设置透明数据加密TDE

• PostgreSQL：云盘加密

云数据库 MongoDB 版（ApsaraDB for MongoDB）

提供透明数据加密TDE功能，加密方式和RDS类似。

设置透明数据加密TDE

云原生数据库 PolarDB

• PolarDB MySQL：设置透明数据加密TDE

• PolarDB O引擎：设置透明数据加密TDE

• PolarDB PostgreSQL：设置透明数据加密TDE

云数据库 OceanBase

开启 TDE 透明加密

云数据库 Tair（兼容 Redis）（Tair (Redis OSS-compatible)）

开启透明数据加密TDE

云原生内存数据库 Tair

开启透明数据加密TDE

云原生数据仓库AnalyticDB

提供云盘加密功能，基于块存储对整个数据盘进行加密，即使数据备份泄露也无法解密，保护您的数据安全。

• MySQL版：云盘加密

• PostgreSQL版：云盘加密

云数据库 ClickHouse

云盘加密

服务名称

描述

相关文档

操作审计（ActionTrail）

创建单账号跟踪或者多账号跟踪时，如果选择投递到OSS，可以在操作审计控制台直接加密操作事件。

• 创建单账号跟踪

• 创建多账号跟踪

日志服务 SLS（Simple Log Service）

日志服务支持通过KMS对数据进行加密存储，提供数据静态保护能力。

数据加密

服务名称

描述

相关文档

云原生大数据计算服务 MaxCompute

MaxCompute支持使用服务密钥或者自选KMS密钥进行数据加密。

数据加密

人工智能平台 PAI

机器学习PAI产品架构中，计算引擎、容器服务、数据存储等各个数据流转环节，相应的云服务均可以配置服务端加密，保护数据的安全与隐私。

无

开源大数据平台 E-MapReduce

加密数据盘后，数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求，则可以使用该功能。

开启数据盘加密

服务名称

描述

相关文档

内容分发网络CDN

当使用OSS Bucket作为源站时，可以使用基于OSS的服务端加密保护分发内容。

OSS私有Bucket回源

媒体处理 MPS（ApsaraVideo Media Processing）

MTS支持私有加密和HLS标准加密两种方式，均可以集成KMS对视频内容进行保护。

无

视频点播 VOD（ApsaraVideo VOD）

VOD支持阿里云视频加密和HLS标准加密两种方式，均可以集成KMS对视频内容进行保护。

• 阿里云视频加密（私有加密）

• HLS标准加密

实时数仓 Hologres

Hologres支持通过KMS对数据进行加密存储，提供数据静态保护能力，满足企业监管和安全合规需求。

数据存储加密

视频直播 LIVE（ApsaraVideo Live）

阿里云视频加密是对视频数据加密，即使下载到本地，视频本身也是被加密的，无法恶意二次分发。视频加密可有效防止视频泄露和盗链问题，广泛用于在线教育、财经金融、行业培训、独播剧等在线版权视频领域。

阿里云视频加密

无影云电脑企业版

在创建云电脑的过程中支持为云电脑的系统盘和数据盘设置磁盘加密。

创建云电脑