通用型NAS和極速型NAS均支持服務器端加密功能。當您對文件存儲有高安全性或者合規(guī)性要求時,建議您開啟服務器端加密功能。開啟該功能后,NAS會對存儲在文件系統(tǒng)中的數(shù)據(jù)進行加密,訪問數(shù)據(jù)時,NAS自動將加密數(shù)據(jù)解密后返回給用戶。本文介紹服務器端加密的工作原理、支持的地域及相關操作。
使用限制
僅支持在創(chuàng)建文件系統(tǒng)時開啟數(shù)據(jù)加密功能。
已開啟數(shù)據(jù)加密功能的文件系統(tǒng)不能關閉此功能。
加密方式
當您對文件存儲有高安全性或者合規(guī)性要求時,建議您開啟服務器端加密功能。服務器端加密密鑰采用行業(yè)標準AES-256加密算法,保護文件系統(tǒng)靜態(tài)數(shù)據(jù),并通過信封加密機制防止未經授權的數(shù)據(jù)訪問。服務器端加密密鑰依托于KMS服務生成和管理。KMS服務能最大程度保障密鑰的保密性、完整性和可用性。更多信息,請參見使用KMS信封加密在本地加密和解密數(shù)據(jù)。
NAS針對不同使用場景提供了以下兩種服務器端加密方式。
使用NAS托管密鑰免費。使用用戶管理密鑰會產生少量的KMS密鑰使用費用。更多信息,請參見KMS計費說明。
NAS托管密鑰
使用NAS完全托管的密鑰加密每個文件系統(tǒng)。該密鑰由NAS在KMS(Key Management Service)服務中進行創(chuàng)建和管理,您可以查看密鑰并審計密鑰的使用權限,但無法刪除、禁用該密鑰。
用戶管理密鑰
使用您托管給KMS服務的用戶管理密鑰對文件系統(tǒng)進行加解密操作。當該密鑰被禁用或者刪除后,使用該密鑰進行加密的NAS文件系統(tǒng)將不可訪問。用戶管理密鑰有以下兩種來源:
在KMS服務中創(chuàng)建的密鑰:您可以在KMS服務中創(chuàng)建用戶主密鑰CMK(Customer Master Key),并對CMK進行配置和管理,包括啟用、禁用、刪除、密鑰輪轉等操作。
自帶密鑰BYOK(Bring Your Own Key):為了滿足一些特定的安全需求,您可以將本地或其他途徑生成的自帶密鑰BYOK導入KMS,作為用戶主密鑰CMK。具體操作,請參見導入密鑰材料。
操作方式
在NAS控制臺創(chuàng)建文件系統(tǒng)時,根據(jù)使用場景配置加密方式為NAS托管密鑰或用戶管理密鑰。具體操作,請參見通過控制臺創(chuàng)建通用型NAS文件系統(tǒng)和通過控制臺創(chuàng)建極速型NAS文件系統(tǒng)。
支持地域
通用型NAS:所有地域。
極速型NAS:除華東1金融云外的所有地域。
相關問題
相關文檔
通用型NAS還支持對傳輸中的數(shù)據(jù)進行加密,您可以在掛載文件系統(tǒng)時開啟傳輸加密,確保數(shù)據(jù)在傳輸過程中不被竊取或篡改。更多信息,請參見NFS協(xié)議文件系統(tǒng)傳輸加密或SMB協(xié)議文件系統(tǒng)傳輸加密。