加密云服務器ECS

您可以使用KMS加密ECS的資源，例如：ECS系統盤、數據盤，以及和它們相關的鏡像、快照。

如下以創建ECS實例時加密數據盤為例，為您介紹加密ECS的方法。其他操作方法，請參見使用KMS一鍵保護ECS工作負載。

1. 登錄ECS管理控制臺。

2. 在左側導航欄，選擇實例與鏡像 > 實例。

3. 在頂部導航欄，選擇地域。

4. 在實例頁面，單擊創建實例。

5. 在基礎配置頁面的存儲區域，按以下步驟加密數據盤。

   1. 單擊增加一塊數據盤。

   2. 設置數據盤規格參數。

   3. 選中加密，然后在下拉列表中選擇一個密鑰。

      您可以選擇KMS服務主密鑰（Default Service CMK）或在KMS中提前創建的用戶主密鑰進行加密。

6. 根據控制臺提示完成其他參數設置。

   更多信息，請參見自定義購買實例。

加密對象存儲OSS

當文件上傳到對象存儲OSS的存儲空間（Bucket）后，使用KMS自動對其進行落盤加密存儲。

• 在創建Bucket時進行加密

  1. 登錄OSS管理控制臺。

  2. 在概覽頁面的Bucket管理區域，單擊創建Bucket。

  3. 在創建Bucket面板的服務端加密方式區域，選擇KMS。

  4. 選擇加密算法。

     • AES256

     • SM4

       說明 KMS通過托管密碼機提供SM4算法，詳情請參見托管密碼機概述。

  5. 選擇加密密鑰。

     您可以選擇KMS密鑰ID，使用指定的CMK生成不同的密鑰來加密不同的Object，具有解密權限的用戶下載Object時會自動解密。選擇指定的密鑰ID前，需在密鑰管理服務控制臺創建一個與Bucket相同地域的普通密鑰或外部密鑰。具體操作，請參見創建密鑰。

  6. 根據控制臺提示完成其他參數設置。

     更多信息，請參見創建存儲空間。

• 對已有Bucket進行加密

  1. 登錄OSS管理控制臺。

  2. 在左側導航欄，單擊Bucket列表。

  3. 單擊目標Bucket名稱。

  4. 在左側導航欄，選擇數據安全 > 服務器端加密。

  5. 在服務器端加密區域，單擊設置。

     1. 設置服務端加密方式為KMS。

     2. 選擇加密算法。

        • AES256

        • SM4

          說明 KMS通過托管密碼機提供SM4算法，詳情請參見托管密碼機概述。

     3. 選擇加密密鑰。

        您可以選擇KMS密鑰ID，使用指定的CMK生成不同的密鑰來加密不同的Object，具有解密權限的用戶下載Object時會自動解密。選擇指定的密鑰ID前，需在密鑰管理服務控制臺創建一個與Bucket相同地域的普通密鑰或外部密鑰。具體操作，請參見創建密鑰。

     4. 單擊保存。

        重要

        開啟或修改Bucket默認加密方式不會對Bucket內已有文件添加或修改加密方式。

加密容器服務Kubernetes版ACK

在ACK Pro托管集群中，您可以使用在KMS中創建的密鑰加密Kubernetes Secret密鑰。

1. 登錄容器服務管理控制臺。

2. 在左側導航欄，單擊集群。

3. 在集群列表頁面，單擊頁面右上角的集群模板。

4. 在選擇集群模板對話框，選擇Pro托管集群，然后單擊創建。

5. 在ACK托管版頁簽，找到Secret落盤加密，選中選擇KMS密鑰，在下拉列表中選擇KMS密鑰ID。

6. 根據控制臺提示完成其他參數設置。

   更多信息，請參見創建ACK Pro版集群。

加密云數據庫RDS

云數據庫RDS數據加密支持云盤加密和透明數據加密TDE。如下以云數據庫RDS MySQL版的云盤加密為例，為您介紹加密RDS的方法。

1. 登錄RDS實例創建頁面。

2. 在存儲類型區域，選擇SSD云盤或ESSD云盤，然后選中右側云盤加密。

3. 在密鑰區域下拉列表中選擇KMS密鑰ID。

   

4. 根據控制臺提示完成其他參數設置。

   更多信息，請參見快速創建RDS MySQL實例。

加密更多云服務

更多云服務加密介紹，請參見支持服務端集成加密的云服務。