本文介紹了當前支持集成KMS加密的阿里云產品。
如果您已購買的阿里云產品支持集成KMS加密,且默認密鑰中的服務密鑰或主密鑰能滿足業務需求,則無需再單獨購買KMS實例。
工作負載數據加密
服務名稱 | 描述 | 相關文檔 |
云服務器 ECS(Elastic Compute Service) | ECS云盤加密功能默認使用服務密鑰加密用戶數據,也支持使用用戶自選密鑰加密用戶數據。云盤的加密機制中,每一塊云盤(Disk)會有相對應的用戶主密鑰(CMK)和數據密鑰(DK),并通過信封加密機制對用戶數據進行加密。 使用ECS云盤加密功能,系統會將從ECS實例傳輸到云盤的數據自動進行加密,并在讀取數據時自動解密。加密解密操作在ECS實例所在的宿主機上進行。在加密解密的過程中,云盤的性能幾乎沒有衰減。 創建加密云盤并將其掛載到ECS實例后,系統將對以下數據進行加密:
| |
容器服務 Kubernetes 版 ACK(Container Service for Kubernetes) | 容器服務中的以下兩類工作負載數據支持基于KMS的服務端加密:
|
持久化存儲數據加密
服務名稱 | 描述 | 相關文檔 |
對象存儲 OSS(Object Storage Service) | OSS支持在服務器端對上傳的數據進行加密(Server-Side Encryption):
OSS在支持集成KMS之前就支持了SSE-OSS,即:使用OSS私有密鑰體系進行服務端加密。這種方式并不使用歸屬用戶的密鑰,因此用戶無法通過操作審計服務審計密鑰使用情況。 OSS支持集成KMS進行服務端加密,稱之為SSE-KMS。OSS支持使用服務密鑰和用戶自選密鑰兩種方式進行服務端加密。OSS既支持在桶級別配置默認加密CMK,也支持在上傳每個對象時使用特定的CMK。 | |
文件存儲 NAS(Apsara File Storage NAS) | NAS的加密功能默認使用服務密鑰加密用戶數據。NAS的加密機制中,每一卷(Volume)會有相對應的用戶主密鑰(CMK)和數據密鑰(DK),并通過信封加密機制對用戶數據進行加密。 | |
表格存儲(Tablestore) | 表格存儲的加密功能默認使用服務密鑰為用戶的數據進行加密,同時也支持使用用戶自選密鑰為用戶的數據進行加密。表格存儲的加密機制中,每一個表格(Table)會有相對應的用戶主密鑰(CMK)和數據密鑰(DK),并通過信封加密機制對用戶數據進行加密。 | 無 |
云存儲網關 CSG(Cloud Storage Gateway) | 云存儲網關CSG支持兩種方式進行加密:
| |
微服務引擎 MSE(Microservices Engine) | 配置中心一般都以明文格式存儲配置數據。為了提升敏感數據(如數據源、Token、用戶名和密碼等)的安全性,MSE通過集成KMS的密鑰服務,提供了配置數據加解密能力,從而降低敏感數據的泄露風險。 |
數據庫加密
服務名稱 | 描述 | 相關文檔 |
云數據庫 RDS(ApsaraDB RDS) | RDS數據加密提供以下兩種方式:
|
|
云數據庫 MongoDB 版(ApsaraDB for MongoDB) | 提供透明數據加密TDE功能,加密方式和RDS類似。 | |
云原生數據庫 PolarDB |
| |
云數據庫 OceanBase | ||
云數據庫 Redis 版(ApsaraDB for Redis) |
日志數據加密
服務名稱 | 描述 | 相關文檔 |
操作審計(ActionTrail) | 創建單賬號跟蹤或者多賬號跟蹤時,如果選擇投遞到OSS,可以在操作審計控制臺直接加密操作事件。 | |
日志服務 SLS(Simple Log Service) | 日志服務支持通過KMS對數據進行加密存儲,提供數據靜態保護能力。 |
大數據與人工智能
服務名稱 | 描述 | 相關文檔 |
云原生大數據計算服務 MaxCompute | MaxCompute支持使用服務密鑰或者自選KMS密鑰進行數據加密。 | |
人工智能平臺 PAI | 機器學習PAI產品架構中,計算引擎、容器服務、數據存儲等各個數據流轉環節,相應的云服務均可以配置服務端加密,保護數據的安全與隱私。 | 無 |
更多場景
服務名稱 | 描述 | 相關文檔 |
內容分發網絡CDN | 當使用OSS Bucket作為源站時,可以使用基于OSS的服務端加密保護分發內容。 | |
媒體處理 MPS(ApsaraVideo Media Processing) | MTS支持私有加密和HLS標準加密兩種方式,均可以集成KMS對視頻內容進行保護。 | |
視頻點播 VOD(ApsaraVideo VOD) | VOD支持阿里云視頻加密和HLS標準加密兩種方式,均可以集成KMS對視頻內容進行保護。 | |
云效代碼管理Codeup | 云效代碼管理Codeup使用KMS服務密鑰對用戶提交的源碼進行加密,確保云端代碼數據不泄露。在代碼加密過程中,每個代碼庫都有對應的數據密鑰(DK),并通過信封加密機制對代碼數據進行加密,在獲得用戶密鑰授權的前提下:
說明 啟用Codeup代碼加密服務,幾乎不影響代碼托管性能。 |