日志服务支持通过密钥管理服务KMS(Key Management Service)对数据进行加密存储,提供数据静态保护能力。日志服务同时支持基于SSL/TLS的HTTPS加密传输,有效防止数据在云端的潜在安全风险。
服务器端加密
日志服务支持如下两种加密类型机制:
- 通过日志服务自带的服务密钥加密
日志服务为每个Logstore生成独立的数据加密密钥,用于数据加密。该加密密钥永不过期。
支持的数据加密算法为AES算法(默认)和国密算法SM4。
- 通过用户自带密钥(BYOK)加密
您可以在KMS控制台上创建主密钥CMK,并授权日志服务相应的权限。日志服务调用KMS接口时,使用该CMK创建用于数据加密的密钥。当您的主密钥CMK被删除或禁用后,BYOK密钥失效。
重要 由KMS BYOK生成的主密钥(CMK)失效后,Logstore上的所有读写请求都会失败。
具体操作,请参见数据加密。
基于SSL/TLS的HTTPS加密传输
日志服务支持通过HTTP或HTTPS的方式访问。安全传输层协议(SSL/TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
- Logtail加密传输
Logtail是日志服务提供的日志采集Agent。为保证您的数据在发送过程中不会被篡改,Logtail会通过HTTPS通道从服务端获取私密Token,并对所有发送日志的数据包进行数据签名,以保障相关安全性。
- SDK加密传输
为了能让您更高效地使用日志服务,日志服务提供Java、Python、.NET、PHP、C等多种语言SDK。多语言SDK均支持使用HTTPS协议向日志服务读写数据。