日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云安全中心 操作指南 風險治理 日志分析 數據加密

數據加密

更新時間:
產品詳情
我的收藏

日志服務支持通過密鑰管理服務KMS(Key Management Service)對數據進行加密存儲,提供數據靜態保護能力。本文主要介紹日志服務的數據加密機制以及使用KMS進行數據加密的操作步驟。

前提條件

已開通密鑰管理服務。更多信息,請參見開通密鑰管理服務。

數據加密機制

日志服務支持如下兩種加密類型機制。

通過日志服務自帶的服務密鑰加密

特點:

  • 簡便性:用戶無需額外操作,加密和密鑰管理完全由日志服務負責,可以減輕用戶的管理負擔。

  • 密鑰獨立性:為每個Logstore生成獨立的數據加密密鑰,從而增強了數據安全性。

  • 持久性:這種數據加密密鑰永不過期,確保了數據加密的穩定性和持久性。

  • 支持的數據加密算法:AES算法(默認)、國密算法SM4。

使用場景:

  • 當用戶希望快速部署數據加密而無需自行管理密鑰時。

  • 用戶對密鑰管理沒有特定要求,更傾向于讓服務提供商管理密鑰。

  • 需要確保數據加密密鑰的長期有效性和穩定性。

適用群體:

小型企業或個人用戶,不希望處理復雜的密鑰管理任務,只希望使用安全、簡單的日志加密方式。

通過用戶自帶密鑰(BYOK)加密

特點:

  • 控制性:用戶完全控制密鑰的生命周期,包括創建、輪轉和刪除等。

  • 靈活性:用戶可以根據需要輕松更新或更換密鑰,增強了安全性和靈活性。

  • 主動性:用戶需要主動管理密鑰,包括在KMS控制臺上創建和授權主密鑰(CMK)使用權限。

使用場景:

  • 當組織有嚴格的安全合規要求,需要自主控制加密密鑰時。

  • 用戶希望能主動管理和輪轉加密密鑰,以滿足更高安全標準的場景。

  • 用戶希望在密鑰被泄露或有其他安全風險時,可以迅速更換或刪除密鑰,以保護數據安全。

適用群體:

大型企業或金融機構,對數據保護和合規性有嚴格要求,需要使用自己的密鑰管理策略,并且有專門的團隊來管理相關密鑰。

重要

當您的主密鑰被刪除或禁用后,BYOK密鑰失效。

由KMS BYOK生成的主密鑰失效后,Logstore上的所有讀寫請求都會失敗。

使用限制

配置數據加密時,您第一次選定加密機制后,后續您無法修改數據加密機制。也不支持修改加密算法和加密類型,您只能通過enable參數開啟或者關閉加密功能,且后續更新Logstore時,需每次攜帶完整encrypt_conf參數。

例如,您第一次選擇的是通過日志服務自帶的服務密鑰加密機制,后續您無法修改為通過用戶自帶密鑰(BYOK)加密方式。

通過日志服務自帶的服務密鑰加密

在調用CreateLogStore API創建Logstore或UpdateLogStore API修改Logstore時,添加如下encrypt_conf(配置數據加密字段)參數完成加密設置。

encrypt_conf字段的數據結構如下表所示。其中,user_cmk_info字段不填

名稱類型描述示例值
object

加密配置數據結構。

enableboolean

是否啟用數據加密。

  • true:是
  • false:否
true
encrypt_typestring

加密算法,只支持 default 和 sm4。當 enable 為 true 時,此項必選。

default
user_cmk_infoEncryptUserCmkConf

可選字段。如果設置該字段,則表示使用自帶密鑰(BYOK),否則使用日志服務的服務密鑰。

 { "cmk_key_id" : "f5136b95-2420-ab31-xxxxxxxxx" "arn" : "acs:ram::13234:role/logsource" "region_id" : "cn-hangzhou" }

通過密鑰管理的用戶自帶密鑰(BYOK)加密

前提條件

已開通密鑰管理服務。更多信息,請參見開通密鑰管理服務。

步驟一:BYOK授權

如果使用BYOK加密,則需先完成RAM授權。

  1. 登錄RAM控制臺

  2. 創建可信實體為阿里云服務的RAM角色,按下圖配置。

    image

  3. 為RAM角色授權AliyunKMSReadOnlyAccess、AliyunKMSCryptoUserAccess權限。更多信息,請參見為RAM角色授權。

    授權

  4. 如果使用RAM用戶操作BYOK加密,還需為RAM用戶授予PassRole權限,僅允許該RAM用戶使用指定的RAM角色。更多信息,請參見創建自定義權限策略為RAM用戶授權。

    下述策略中的Resource值,需要替換為上述步驟中創建的RAM角色的ARN。關于如何查看角色ARN,請參見如何查看RAM角色的ARN?。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ram:PassRole",
            "Resource": "acs:ram::<account-id>:role/<role-name>"  
        }
    ]
}

步驟二:配置數據加密

重要

配置后,不支持修改加密算法和加密類型,您只能通過enable參數開啟或者關閉加密功能,且后續UpdateLogstore時,需每次攜帶完整encrypt_conf參數。

對于已創建的Logstore,您需要調用UpdateLogStore進行數據加密,添加encrypt_conf(配置數據加密字段)參數完成加密設置。

調用UpdateLogStore前需要先使用GetLogStore獲取Logstore的原配置,在此基礎上修改后,作為參數傳入到UpdateLogStore中。

encrypt_conf字段的數據結構如下表所示。其中,user_cmk_info字段必須填寫。

名稱類型描述示例值
object

加密配置數據結構。

enableboolean

是否啟用數據加密。

  • true:是
  • false:否
true
encrypt_typestring

加密算法,只支持 default 和 sm4。當 enable 為 true 時,此項必選。

default
user_cmk_infoEncryptUserCmkConf

可選字段。如果設置該字段,則表示使用自帶密鑰(BYOK),否則使用日志服務的服務密鑰。

 { "cmk_key_id" : "f5136b95-2420-ab31-xxxxxxxxx" "arn" : "acs:ram::13234:role/logsource" "region_id" : "cn-hangzhou" }

EncryptUserCmkConf數據結構

名稱類型描述示例值
object

用戶加密配置數據結構。

cmk_key_idstring

BYOK 的主密鑰 ID。

f5136b95-2420-ab31-xxxxxxxxx
arnstring

RAM 角色的 ARN。

acs:ram::13234:role/logsource
region_idstring

主密鑰所在的地域 ID。

cn-hangzhou
encrypt_conf = {
    "enable" : True,                 # 是否啟用加密。
    "encrypt_type" : "default"       # 加密算法,只支持default和m4。
    "user_cmk_info" :                # 可選字段。如果設置該字段,則表示使用自帶密鑰(BYOK),否則使用日志服務的服務密鑰。
    {
          "cmk_key_id" : ""          # BYOK的主密鑰ID,例如f5136b95-2420-ab31-xxxxxxxxx。
          "arn" :  ""                # RAM角色的ARN。
          "region_id" : ""           # 主密鑰所在的地域ID。
    }
}

相關文檔

涉及日志服務的API如下: