密钥管理服务KMS(Key Management Service)已集成云服务器ECS、对象存储OSS、容器服务Kubernetes版ACK、关系型数据库RDS等云服务,您可以使用KMS加密这些云服务,保护云上数据安全。

加密云服务器ECS

您可以使用KMS加密ECS的资源,例如:ECS系统盘、数据盘,以及和它们相关的镜像、快照。

如下以创建ECS实例时加密数据盘为例,为您介绍加密ECS的方法。其他操作方法,请参见使用KMS一键保护ECS工作负载

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 实例列表页面的右上角,单击创建实例
  4. 基础配置页面的存储区域,按以下步骤加密数据盘。
    1. 单击增加一块数据盘
    2. 设置数据盘规格参数。
    3. 选中加密,然后在下拉列表中选择一个密钥。
      您可以选择KMS服务主密钥(Default Service CMK)或在KMS中提前创建的用户主密钥进行加密。创建实例时加密数据盘
  5. 根据控制台提示完成其他参数设置,详情请参见使用向导创建实例

加密对象存储OSS

当文件上传到对象存储(OSS)的存储空间(Bucket) 后,使用KMS自动对其进行落盘加密存储。

  • 在创建Bucket时进行加密
    1. 登录OSS管理控制台
    2. 概览页右侧单击创建Bucket
    3. 创建Bucket页面的服务器端加密区域,选择KMS
    4. 设置加密算法
    5. 选择加密密钥
      • alias/acs/oss:使用KMS服务主密钥生成不同的密钥来加密不同的Object,并且在Object被下载时自动解密。
      • CMK ID:使用指定的CMK生成不同的密钥来加密不同的Object,具有解密权限的用户下载Object时会自动解密。选择指定的CMK ID前,需在密钥管理服务控制台创建一个与Bucket相同地域的普通密钥或外部密钥,详情请参见创建密钥
      说明 其他参数设置详情,请参见创建存储空间
  • 对已有Bucket进行加密
    1. 登录OSS管理控制台
    2. 在左侧导航栏,单击Bucket列表
    3. 单击目标Bucket名称。
    4. 在左侧导航栏,选择基础设置 > 服务器端加密
    5. 单击设置
      • 设置服务端加密方式KMS
      • 设置加密算法
      • 选择加密密钥
        • alias/acs/oss:使用KMS服务主密钥生成不同的密钥来加密不同的Object,并且在Object被下载时自动解密。
        • CMK ID:使用指定的CMK生成不同的密钥来加密不同的Object,具有解密权限的用户下载Object时会自动解密。选择指定的CMK ID前,需在密钥管理服务控制台创建一个与Bucket相同地域的普通密钥或外部密钥,详情请参见创建密钥
      • 单击保存
        注意 开启或修改Bucket默认加密方式不会对Bucket内已有文件添加或修改加密方式。

加密容器服务Kubernetes版ACK

在ACK Pro托管集群中,您可以使用在KMS中创建的密钥加密Kubernetes Secret密钥。

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,选择集群 > 集群
  3. 单击页面右上角的创建集群,在弹出的选择集群模板对话框,选择Pro版集群,并单击创建
  4. ACK托管版页签找到Secret落盘加密,选中选择KMS密钥,在下拉列表中选择KMS密钥ID。
    加密
  5. 根据控制台提示完成其他参数设置,详情请参见创建Kubernetes Pro版集群

加密关系型数据库RDS

RDS数据加密支持云盘加密和透明数据加密TDE。如下以MySQL引擎的云盘加密为例,为您介绍加密RDS的方法。

  1. 登录RDS实例创建页面。
  2. 存储类型区域,选择SSD云盘ESSD云盘并选中右侧云盘加密
  3. 密钥区域下拉列表中选择KMS密钥ID。
    SSD云盘
  4. 根据控制台提示完成其他参数设置,详情请参见创建RDS MySQL实例

加密更多云服务

更多云服务加密介绍,请参见支持服务端集成加密的云产品