本文介绍了当前支持集成KMS加密的阿里云产品。
如果您已购买的阿里云产品支持集成KMS加密,且默认密钥中的服务密钥或主密钥能满足业务需求,则无需再单独购买KMS实例。
工作负载数据加密
服务名称 | 描述 | 相关文档 |
云服务器 ECS(Elastic Compute Service) | ECS云盘加密功能默认使用服务密钥加密用户数据,也支持使用用户自选密钥加密用户数据。云盘的加密机制中,每一块云盘(Disk)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行。在加密解密的过程中,云盘的性能几乎没有衰减。 创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
| |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | 容器服务中的以下两类工作负载数据支持基于KMS的服务端加密:
|
持久化存储数据加密
服务名称 | 描述 | 相关文档 |
对象存储 OSS(Object Storage Service) | OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption):
OSS在支持集成KMS之前就支持了SSE-OSS,即:使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥,因此用户无法通过操作审计服务审计密钥使用情况。 OSS支持集成KMS进行服务端加密,称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。OSS既支持在桶级别配置默认加密CMK,也支持在上传每个对象时使用特定的CMK。 | |
文件存储 NAS(Apsara File Storage NAS) | NAS的加密功能默认使用服务密钥加密用户数据。NAS的加密机制中,每一卷(Volume)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | |
表格存储(Tablestore) | 表格存储的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中,每一个表格(Table)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | 无 |
云存储网关 CSG(Cloud Storage Gateway) | 云存储网关CSG支持两种方式进行加密:
| |
微服务引擎 MSE(Microservices Engine) | 配置中心一般都以明文格式存储配置数据。为了提升敏感数据(如数据源、Token、用户名和密码等)的安全性,MSE通过集成KMS的密钥服务,提供了配置数据加解密能力,从而降低敏感数据的泄露风险。 |
数据库加密
服务名称 | 描述 | 相关文档 |
云数据库 RDS(ApsaraDB RDS) | RDS数据加密提供以下两种方式:
|
|
云数据库 MongoDB 版(ApsaraDB for MongoDB) | 提供透明数据加密TDE功能,加密方式和RDS类似。 | |
云原生数据库 PolarDB |
| |
云数据库 OceanBase | ||
云数据库 Redis 版(ApsaraDB for Redis) |
日志数据加密
服务名称 | 描述 | 相关文档 |
操作审计(ActionTrail) | 创建单账号跟踪或者多账号跟踪时,如果选择投递到OSS,可以在操作审计控制台直接加密操作事件。 | |
日志服务 SLS(Simple Log Service) | 日志服务支持通过KMS对数据进行加密存储,提供数据静态保护能力。 |
大数据与人工智能
服务名称 | 描述 | 相关文档 |
云原生大数据计算服务 MaxCompute | MaxCompute支持使用服务密钥或者自选KMS密钥进行数据加密。 | |
人工智能平台 PAI | 机器学习PAI产品架构中,计算引擎、容器服务、数据存储等各个数据流转环节,相应的云服务均可以配置服务端加密,保护数据的安全与隐私。 | 无 |
更多场景
服务名称 | 描述 | 相关文档 |
内容分发网络CDN | 当使用OSS Bucket作为源站时,可以使用基于OSS的服务端加密保护分发内容。 | |
媒体处理 MPS(ApsaraVideo Media Processing) | MTS支持私有加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 | |
视频点播 VOD(ApsaraVideo VOD) | VOD支持阿里云视频加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 | |
云效代码管理Codeup | 云效代码管理Codeup使用KMS服务密钥对用户提交的源码进行加密,确保云端代码数据不泄露。在代码加密过程中,每个代码库都有对应的数据密钥(DK),并通过信封加密机制对代码数据进行加密,在获得用户密钥授权的前提下:
说明 启用Codeup代码加密服务,几乎不影响代码托管性能。 |