本文介绍了当前支持集成KMS加密的阿里云产品。
如果您已购买的阿里云产品支持集成KMS加密,且默认密钥中的服务密钥或主密钥能满足业务需求,则无需再单独购买KMS实例。
工作负载数据加密
服务名称 | 描述 | 相关文档 |
云服务器 ECS(Elastic Compute Service) | ECS云盘加密功能默认使用服务密钥加密用户数据,也支持使用用户自选密钥加密用户数据。云盘的加密机制中,每一块云盘(Disk)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行。在加密解密的过程中,云盘的性能几乎没有衰减。 创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
| |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | 容器服务中的以下两类工作负载数据支持基于KMS的服务端加密:
| |
容器镜像服务 ACR(Container Registry) | 为了避免中间人攻击和非法镜像的更新及运行,ACR支持命名空间级别的自动加签,每次推送容器镜像后都会匹配加签规则自动加签,保障镜像从分发到部署的全链路一致性。 | |
容器计算服务 ACS(Container Compute Service) | 确保敏感数据在存储、传输和处理过程中得到有效的保护,降低数据泄露的风险。 | |
弹性容器实例 ECI(Elastic Container Instance) | 每个ECI Pod默认提供30 GiB(可自定义增加)的临时存储空间,用于存放Pod启动使用的容器镜像以及运行Pod产生的业务数据等。如果您的镜像和业务数据带有敏感信息,需要遵守合规要求等,可以开启临时存储空间加密功能,以保证数据安全性和完整性,防止未经授权的访问和数据泄露。 |
持久化存储数据加密
服务名称 | 描述 | 相关文档 |
对象存储 OSS(Object Storage Service) | OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption):
OSS在支持集成KMS之前就支持了SSE-OSS,即:使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥,因此用户无法通过操作审计服务审计密钥使用情况。 OSS支持集成KMS进行服务端加密,称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。OSS既支持在桶级别配置默认加密CMK,也支持在上传每个对象时使用特定的CMK。 | |
文件存储 NAS(File Storage NAS) | NAS的加密功能默认使用服务密钥加密用户数据。NAS的加密机制中,每一卷(Volume)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | |
表格存储(Tablestore) | 表格存储的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中,每一个表格(Table)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。 | 无 |
云存储网关 CSG(Cloud Storage Gateway) | 云存储网关CSG支持两种方式进行加密:
| |
微服务引擎 MSE(Microservices Engine) | 配置中心一般都以明文格式存储配置数据。为了提升敏感数据(如数据源、Token、用户名和密码等)的安全性,MSE通过集成KMS的密钥服务,提供了配置数据加解密能力,从而降低敏感数据的泄露风险。 |
数据库加密
服务名称 | 描述 | 相关文档 |
云数据库 RDS(ApsaraDB RDS) | RDS数据加密提供以下两种方式:
|
|
云数据库 MongoDB 版(ApsaraDB for MongoDB) | 提供透明数据加密TDE功能,加密方式和RDS类似。 | |
云原生数据库 PolarDB |
| |
云数据库 OceanBase | ||
云数据库 Tair(兼容 Redis)(Tair (Redis OSS-compatible)) | ||
云原生内存数据库 Tair | ||
云原生数据仓库AnalyticDB | 提供云盘加密功能,基于块存储对整个数据盘进行加密,即使数据备份泄露也无法解密,保护您的数据安全。 | |
云数据库 ClickHouse | ||
云数据库专属集群 | 利用备份工具(Xtrabackup)的加密能力对专属集群MyBase for MySQL实例的备份进行加密,以此来提高数据的安全性。 |
日志数据加密
服务名称 | 描述 | 相关文档 |
操作审计(ActionTrail) | 创建单账号跟踪或者多账号跟踪时,如果选择投递到OSS,可以在操作审计控制台直接加密操作事件。 | |
日志服务 SLS(Simple Log Service) | 日志服务支持通过KMS对数据进行加密存储,提供数据静态保护能力。 |
大数据与人工智能
服务名称 | 描述 | 相关文档 |
云原生大数据计算服务 MaxCompute | MaxCompute支持使用服务密钥或者自选KMS密钥进行数据加密。 | |
人工智能平台 PAI | 机器学习PAI产品架构中,计算引擎、容器服务、数据存储等各个数据流转环节,相应的云服务均可以配置服务端加密,保护数据的安全与隐私。 | 无 |
开源大数据平台 E-MapReduce | 加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求,则可以使用该功能。 |
更多场景
服务名称 | 描述 | 相关文档 |
内容分发网络CDN | 当使用OSS Bucket作为源站时,可以使用基于OSS的服务端加密保护分发内容。 | |
媒体处理 MPS(ApsaraVideo Media Processing) | MTS支持私有加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 | |
视频点播 VOD(ApsaraVideo VOD) | VOD支持阿里云视频加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。 | |
云效代码管理Codeup | 云效代码管理Codeup使用KMS服务密钥对用户提交的源码进行加密,确保云端代码数据不泄露。在代码加密过程中,每个代码库都有对应的数据密钥(DK),并通过信封加密机制对代码数据进行加密,在获得用户密钥授权的前提下:
说明 启用Codeup代码加密服务,几乎不影响代码托管性能。 | |
实时数仓 Hologres | Hologres支持通过KMS对数据进行加密存储,提供数据静态保护能力,满足企业监管和安全合规需求。 | |
视频直播 LIVE(ApsaraVideo Live) | 阿里云视频加密是对视频数据加密,即使下载到本地,视频本身也是被加密的,无法恶意二次分发。视频加密可有效防止视频泄露和盗链问题,广泛用于在线教育、财经金融、行业培训、独播剧等在线版权视频领域。 | |
无影云电脑企业版 | 在创建云电脑的过程中支持为云电脑的系统盘和数据盘设置磁盘加密。 基于加密云电脑创建的快照和自定义镜像,其加密密钥与云电脑的加密密钥相同。 |