服務名稱

描述

相關文檔

云服務器 ECS（Elastic Compute Service）

ECS云盤加密功能默認使用服務密鑰加密用戶數據，也支持使用用戶自選密鑰加密用戶數據。云盤的加密機制中，每一塊云盤（Disk）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

使用ECS云盤加密功能，系統會將從ECS實例傳輸到云盤的數據自動進行加密，并在讀取數據時自動解密。加密解密操作在ECS實例所在的宿主機上進行。在加密解密的過程中，云盤的性能幾乎沒有衰減。

加密概述

容器服務 Kubernetes 版 ACK（Container Service for Kubernetes）

容器服務中的以下兩類工作負載數據支持基于KMS的服務端加密：

• Kubernetes Secrets

  在Kubernetes集群中，我們通常使用Secrets密鑰模型存儲和管理業務應用涉及的敏感信息。例如：應用密碼、TLS證書、Docker鏡像下載憑據等敏感信息。Kubernetes會將所有的這些Secrets密鑰對象數據存儲在集群對應的ETCD中。

• 存儲卷

  存儲卷可以是云盤、OSS或者NAS卷。針對各類存儲卷，可以采用特定存儲類型的服務端KMS加密方式。例如：您可以創建一個加密云盤，隨后掛載為Kubernetes存儲卷。

使用阿里云KMS進行Secret的落盤加密

容器鏡像服務 ACR（Container Registry）

為了避免中間人攻擊和非法鏡像的更新及運行，ACR支持命名空間級別的自動加簽，每次推送容器鏡像后都會匹配加簽規則自動加簽，保障鏡像從分發到部署的全鏈路一致性。

使用容器鏡像加簽

容器計算服務 ACS（Container Compute Service）

確保敏感數據在存儲、傳輸和處理過程中得到有效的保護，降低數據泄露的風險。

敏感數據加密

彈性容器實例 ECI（Elastic Container Instance）

每個ECI Pod默認提供30 GiB（可自定義增加）的臨時存儲空間，用于存放Pod啟動使用的容器鏡像以及運行Pod產生的業務數據等。如果您的鏡像和業務數據帶有敏感信息，需要遵守合規要求等，可以開啟臨時存儲空間加密功能，以保證數據安全性和完整性，防止未經授權的訪問和數據泄露。

加密臨時存儲空間

服務名稱

描述

相關文檔

對象存儲 OSS（Object Storage Service）

OSS在支持集成KMS之前就支持了SSE-OSS，即：使用OSS私有密鑰體系進行服務端加密。這種方式并不使用歸屬用戶的密鑰，因此用戶無法通過操作審計服務審計密鑰使用情況。

OSS支持集成KMS進行服務端加密，稱之為SSE-KMS。OSS支持使用服務密鑰和用戶自選密鑰兩種方式進行服務端加密。OSS既支持在桶級別配置默認加密CMK，也支持在上傳每個對象時使用特定的CMK。

• 服務器端加密

• SDK參考

文件存儲 NAS（File Storage NAS）

NAS的加密功能默認使用服務密鑰加密用戶數據。NAS的加密機制中，每一卷（Volume）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

服務器端加密

表格存儲（Tablestore）

表格存儲的加密功能默認使用服務密鑰為用戶的數據進行加密，同時也支持使用用戶自選密鑰為用戶的數據進行加密。表格存儲的加密機制中，每一個表格（Table）會有相對應的用戶主密鑰（CMK）和數據密鑰（DK），并通過信封加密機制對用戶數據進行加密。

無

云存儲網關 CSG（Cloud Storage Gateway）

基于OSS對數據進行加密。

管理共享

微服務引擎 MSE（Microservices Engine）

配置中心一般都以明文格式存儲配置數據。為了提升敏感數據（如數據源、Token、用戶名和密碼等）的安全性，MSE通過集成KMS的密鑰服務，提供了配置數據加解密能力，從而降低敏感數據泄露的風險。

配置加密

服務名稱

描述

相關文檔

云數據庫 RDS（ApsaraDB RDS）

RDS數據加密提供以下兩種方式：

• 云盤加密

  針對RDS云盤版實例，阿里云免費提供云盤加密功能，基于塊存儲對整個數據盤進行加密。云盤加密使用的密鑰由KMS服務加密保護，RDS只在啟動實例和遷移實例時，動態讀取一次密鑰。

• 透明數據加密TDE

  RDS提供MySQL和SQL Server的透明數據加密TDE（Transparent Data Encryption）功能。TDE加密使用的密鑰由KMS服務加密保護，RDS只在啟動實例和遷移實例時動態讀取一次密鑰。當RDS實例開啟TDE功能后，用戶可以指定參與加密的數據庫或者表。這些數據庫或者表中的數據在寫入到任何設備（磁盤、SSD、PCIe卡）或者服務（對象存儲OSS）前都會進行加密，因此實例對應的數據文件和備份都是以密文形式存在的。

• MySQL：云盤加密、設置透明數據加密TDE

• SQL Server：云盤加密、設置透明數據加密TDE

• PostgreSQL：云盤加密

云數據庫 MongoDB 版（ApsaraDB for MongoDB）

提供透明數據加密TDE功能，加密方式和RDS類似。

設置透明數據加密TDE

云原生數據庫 PolarDB

• PolarDB MySQL：設置透明數據加密TDE

• PolarDB O引擎：設置透明數據加密TDE

• PolarDB PostgreSQL：設置透明數據加密TDE

云數據庫 OceanBase

開啟 TDE 透明加密

云數據庫 Tair（兼容 Redis）（Tair (Redis OSS-compatible)）

開啟透明數據加密TDE

云原生內存數據庫 Tair

開啟透明數據加密TDE

云原生數據倉庫AnalyticDB

提供云盤加密功能，基于塊存儲對整個數據盤進行加密，即使數據備份泄露也無法解密，保護您的數據安全。

• MySQL版：云盤加密

• PostgreSQL版：云盤加密

云數據庫 ClickHouse

云盤加密

云數據庫專屬集群

利用備份工具（Xtrabackup）的加密能力對專屬集群MyBase for MySQL實例的備份進行加密，以此來提高數據的安全性。

備份加密

服務名稱

描述

相關文檔

操作審計（ActionTrail）

創建單賬號跟蹤或者多賬號跟蹤時，如果選擇投遞到OSS，可以在操作審計控制臺直接加密操作事件。

• 創建單賬號跟蹤

• 創建多賬號跟蹤

日志服務 SLS（Simple Log Service）

日志服務支持通過KMS對數據進行加密存儲，提供數據靜態保護能力。

數據加密

服務名稱

描述

相關文檔

云原生大數據計算服務 MaxCompute

MaxCompute支持使用服務密鑰或者自選KMS密鑰進行數據加密。

數據加密

人工智能平臺 PAI

機器學習PAI產品架構中，計算引擎、容器服務、數據存儲等各個數據流轉環節，相應的云服務均可以配置服務端加密，保護數據的安全與隱私。

無

開源大數據平臺 E-MapReduce

加密數據盤后，數據盤上的動態數據傳輸以及靜態數據都會被加密。如果您的業務存在安全合規要求，則可以使用該功能。

開啟數據盤加密

服務名稱

描述

相關文檔

內容分發網絡CDN

當使用OSS Bucket作為源站時，可以使用基于OSS的服務端加密保護分發內容。

OSS私有Bucket回源

媒體處理 MPS（ApsaraVideo Media Processing）

MTS支持私有加密和HLS標準加密兩種方式，均可以集成KMS對視頻內容進行保護。

阿里云私有加密

視頻點播 VOD（ApsaraVideo VOD）

VOD支持阿里云視頻加密和HLS標準加密兩種方式，均可以集成KMS對視頻內容進行保護。

• 阿里云視頻加密（私有加密）

• HLS標準加密

云效代碼管理Codeup

云效代碼管理Codeup使用KMS服務密鑰對用戶提交的源碼進行加密，確保云端代碼數據不泄露。在代碼加密過程中，每個代碼庫都有對應的數據密鑰（DK），并通過信封加密機制對代碼數據進行加密，在獲得用戶密鑰授權的前提下：

• 當用戶使用Git客戶端或頁面提交Git數據時，Codeup對收到的代碼數據執行加密，并持久化存儲加密后的數據。

• 當用戶使用Git客戶端或頁面訪問Git數據時，Codeup根據授權對保存的加密數據進行解密，并把原始數據返回給用戶。

代碼倉庫加密

實時數倉 Hologres

Hologres支持通過KMS對數據進行加密存儲，提供數據靜態保護能力，滿足企業監管和安全合規需求。

數據存儲加密

視頻直播 LIVE（ApsaraVideo Live）

阿里云視頻加密是對視頻數據加密，即使下載到本地，視頻本身也是被加密的，無法惡意二次分發。視頻加密可有效防止視頻泄露和盜鏈問題，廣泛用于在線教育、財經金融、行業培訓、獨播劇等在線版權視頻領域。

阿里云視頻加密

無影云電腦企業版

在創建云電腦的過程中支持為云電腦的系統盤和數據盤設置磁盤加密。

創建云電腦