服務名稱

描述

相關文檔

云服務器 ECS（Elastic Compute Service）

ECS云盤加密功能默認使用服務密鑰加密用戶數據，也支持使用用戶自選密鑰加密用戶數據。云盤的加密機制中，每一塊云盤（Disk）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

使用ECS云盤加密功能，系統會將從ECS實例傳輸到云盤的數據自動進行加密，并在讀取數據時自動解密。加密解密操作在ECS實例所在的宿主機上進行。在加密解密的過程中，云盤的性能幾乎沒有衰減。

加密概述

容器服務 Kubernetes 版 ACK（Container Service for Kubernetes）

容器服務中的以下兩類工作負載數據支持基于KMS的服務端加密：

• Kubernetes Secrets

  在Kubernetes集群中，我們通常使用Secrets密鑰模型存儲和管理業務應用涉及的敏感信息。例如：應用密碼、TLS證書、Docker鏡像下載憑據等敏感信息。Kubernetes會將所有的這些Secrets密鑰對象數據存儲在集群對應的ETCD中。

• 存儲卷

  存儲卷可以是云盤、OSS、或者NAS卷。針對各類存儲卷，可以采用特定存儲類型的服務端KMS加密方式。例如：您可以創建一個加密云盤，隨后掛載為Kubernetes存儲卷。

使用阿里云KMS進行Secret的落盤加密

服務名稱

描述

相關文檔

對象存儲 OSS（Object Storage Service）

OSS在支持集成KMS之前就支持了SSE-OSS，即：使用OSS私有密鑰體系進行服務端加密。這種方式并不使用歸屬用戶的密鑰，因此用戶無法通過操作審計服務審計密鑰使用情況。

OSS支持集成KMS進行服務端加密，稱之為SSE-KMS。OSS支持使用服務密鑰和用戶自選密鑰兩種方式進行服務端加密。OSS既支持在桶級別配置默認加密CMK，也支持在上傳每個對象時使用特定的CMK。

• 服務器端加密

• SDK參考

文件存儲 NAS（Apsara File Storage NAS）

NAS的加密功能默認使用服務密鑰加密用戶數據。NAS的加密機制中，每一卷（Volume）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

服務器端加密

表格存儲（Tablestore）

表格存儲的加密功能默認使用服務密鑰為用戶的數據進行加密，同時也支持使用用戶自選密鑰為用戶的數據進行加密。表格存儲的加密機制中，每一個表格（Table）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

無

云存儲網關 CSG（Cloud Storage Gateway）

• 網關側加密

• 管理共享

微服務引擎 MSE（Microservices Engine）

配置中心一般都以明文格式存儲配置數據。為了提升敏感數據（如數據源、Token、用戶名和密碼等）的安全性，MSE通過集成KMS的密鑰服務，提供了配置數據加解密能力，從而降低敏感數據的泄露風險。

配置加密

服務名稱

描述

相關文檔

云數據庫 RDS（ApsaraDB RDS）

RDS數據加密提供以下兩種方式：

• 云盤加密

  針對RDS云盤版實例，阿里云免費提供云盤加密功能，基于塊存儲對整個數據盤進行加密。云盤加密使用的密鑰由KMS服務加密保護，RDS只在啟動實例和遷移實例時，動態讀取一次密鑰。

• 透明數據加密TDE

  RDS提供MySQL和SQL Server的透明數據加密TDE（Transparent Data Encryption）功能。TDE加密使用的密鑰由KMS服務加密保護，RDS只在啟動實例和遷移實例時動態讀取一次密鑰。當RDS實例開啟TDE功能后，用戶可以指定參與加密的數據庫或者表。這些數據庫或者表中的數據在寫入到任何設備（磁盤、SSD、PCIe卡）或者服務（對象存儲OSS）前都會進行加密，因此實例對應的數據文件和備份都是以密文形式存在的。

• MySQL：云盤加密、設置透明數據加密TDE

• SQL Server：云盤加密、設置透明數據加密TDE

• PostgreSQL：云盤加密

云數據庫 MongoDB 版（ApsaraDB for MongoDB）

提供透明數據加密TDE功能，加密方式和RDS類似。

設置透明數據加密TDE

云原生數據庫 PolarDB

• PolarDB MySQL：設置透明數據加密TDE

• PolarDB O引擎：設置透明數據加密TDE

• PolarDB PostgreSQL：設置透明數據加密TDE

云數據庫 OceanBase

TDE 透明加密

云數據庫 Redis 版（ApsaraDB for Redis）

開啟透明數據加密TDE

服務名稱

描述

相關文檔

操作審計（ActionTrail）

創建單賬號跟蹤或者多賬號跟蹤時，如果選擇投遞到OSS，可以在操作審計控制臺直接加密操作事件。

• 創建單賬號跟蹤

• 創建多賬號跟蹤

日志服務 SLS（Simple Log Service）

日志服務支持通過KMS對數據進行加密存儲，提供數據靜態保護能力。

數據加密

服務名稱

描述

相關文檔

云原生大數據計算服務 MaxCompute

MaxCompute支持使用服務密鑰或者自選KMS密鑰進行數據加密。

數據加密

人工智能平臺 PAI

機器學習PAI產品架構中，計算引擎、容器服務、數據存儲等各個數據流轉環節，相應的云服務均可以配置服務端加密，保護數據的安全與隱私。

無

服務名稱

描述

相關文檔

內容分發網絡CDN

當使用OSS Bucket作為源站時，可以使用基于OSS的服務端加密保護分發內容。

OSS私有Bucket回源

媒體處理 MPS（ApsaraVideo Media Processing）

MTS支持私有加密和HLS標準加密兩種方式，均可以集成KMS對視頻內容進行保護。

阿里云私有加密

視頻點播 VOD（ApsaraVideo VOD）

VOD支持阿里云視頻加密和HLS標準加密兩種方式，均可以集成KMS對視頻內容進行保護。

• 阿里云視頻加密（私有加密）

• HLS標準加密

云效代碼管理Codeup

云效代碼管理Codeup使用KMS服務密鑰對用戶提交的源碼進行加密，確保云端代碼數據不泄露。在代碼加密過程中，每個代碼庫都有對應的數據密鑰（DK），并通過信封加密機制對代碼數據進行加密，在獲得用戶密鑰授權的前提下：

• 當用戶使用Git客戶端或頁面提交Git數據時，Codeup對收到的代碼數據執行加密，并持久化存儲加密后的數據。

• 當用戶使用Git客戶端或頁面訪問Git數據時，Codeup根據授權對保存的加密數據進行解密，并把原始數據返回給用戶。

代碼倉庫加密