Key Management Service：Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS

Layanan

Deskripsi

Referensi

Elastic Compute Service (ECS)

Secara default, fitur enkripsi disk ECS menggunakan kunci yang dikelola layanan untuk mengenkripsi data. Fitur ini juga dapat menggunakan kunci yang dikelola pengguna untuk mengenkripsi data. Setiap disk memiliki kunci master pelanggan (CMK) dan kunci data sendiri dan menggunakan mekanisme enkripsi amplop untuk mengenkripsi data.

Instance ECS secara otomatis mengenkripsi data yang ditransmisikan ke disk terenkripsi dan mendekripsi data yang dibaca dari disk. Data dienkripsi atau didekripsi pada host tempat instance ECS berada. Selama proses enkripsi dan dekripsi, performa disk tidak terpengaruh.

Enkripsi cloud disk

Container Service for Kubernetes (ACK)

ACK mendukung enkripsi sisi server (SSE) berbasis KMS untuk jenis data beban kerja berikut:

• Kubernetes Secrets

  Dalam kluster Kubernetes, Kubernetes Secrets digunakan untuk menyimpan dan mengelola data bisnis sensitif. Untuk informasi lebih lanjut tentang Kubernetes Secrets, lihat Secrets. Data bisnis sensitif mencakup kata sandi aplikasi, sertifikat Transport Layer Security (TLS), dan kredensial yang digunakan untuk mengunduh gambar Docker. Kubernetes menyimpan Secrets di etcd kluster.

• Volumes

  Volume bisa berupa disk, bucket Object Storage Service (OSS), atau File Storage NAS file system. Anda dapat menggunakan metode enkripsi SSE tertentu dari KMS untuk mengenkripsi setiap jenis volume. Misalnya, Anda dapat membuat disk terenkripsi dan melampirkannya ke kluster Kubernetes sebagai volume.

Gunakan KMS untuk mengenkripsi Kubernetes Secrets

Web App Service

Web App Service terintegrasi dengan KMS untuk mengenkripsi data konfigurasi sensitif, seperti kredensial akses ApsaraDB RDS.

Tidak ada

Layanan

Deskripsi

Referensi

Object Storage Service (OSS)

OSS dapat menggunakan sistem enkripsi yang didedikasikan untuk OSS untuk mengimplementasikan fitur SSE. Dalam hal ini, fitur tersebut disebut SSE-OSS. Kunci yang digunakan dalam sistem enkripsi ini tidak dikelola oleh OSS. Oleh karena itu, Anda tidak dapat menggunakan ActionTrail untuk mengaudit penggunaan kunci ini.

OSS juga dapat menggunakan KMS untuk mengaktifkan fitur SSE. Dalam hal ini, fitur tersebut disebut SSE-KMS. OSS menggunakan kunci yang dikelola layanan atau kunci yang dikelola pengguna untuk mengenkripsi data Anda. OSS memungkinkan Anda mengonfigurasi CMK default untuk setiap bucket atau menentukan CMK yang dapat Anda gunakan saat mengunggah objek.

• Enkripsi sisi server

• Referensi SDK

File Storage NAS

Secara default, File Storage NAS menggunakan kunci yang dikelola layanan untuk mengenkripsi data Anda. Setiap volume memiliki CMK dan kunci data sendiri dan menggunakan mekanisme enkripsi amplop untuk mengenkripsi data Anda.

Enkripsi sisi server

Tablestore

Secara default, Tablestore menggunakan kunci yang dikelola layanan untuk mengenkripsi data Anda. Tablestore juga dapat menggunakan kunci yang dikelola pengguna untuk mengenkripsi data Anda. Setiap tabel memiliki CMK dan kunci data sendiri dan menggunakan mekanisme enkripsi amplop untuk mengenkripsi data Anda.

Tidak ada

Cloud Storage Gateway (CSG)

Kelola share

Layanan

Deskripsi

Referensi

ApsaraDB RDS

ApsaraDB RDS mendukung metode enkripsi berikut:

• Enkripsi disk

  Untuk disk yang digunakan oleh instance ApsaraDB RDS, Alibaba Cloud menyediakan fitur enkripsi disk secara gratis. Fitur ini mengenkripsi disk berdasarkan penyimpanan blok. Kunci yang digunakan untuk enkripsi disk dienkripsi dan disimpan di KMS. ApsaraDB RDS hanya membaca kunci saat Anda memulai atau memigrasi instance.

• Transparent data encryption (TDE)

  ApsaraDB RDS for MySQL dan ApsaraDB RDS for SQL Server mendukung TDE. Kunci yang digunakan untuk TDE dienkripsi dan disimpan di KMS. ApsaraDB RDS hanya membaca kunci saat Anda memulai atau memigrasi instance. Setelah TDE diaktifkan untuk instance ApsaraDB RDS, Anda dapat menentukan database atau tabel yang akan dienkripsi. Data dari database atau tabel yang ditentukan dienkripsi sebelum ditulis ke perangkat tujuan seperti disk, solid-state drive (SSD), atau kartu Peripheral Component Interconnect Express (PCIe), atau ke layanan seperti OSS. Semua file data dan cadangan dari instance ApsaraDB RDS disimpan dalam bentuk ciphertext.

• ApsaraDB RDS for MySQL: Enkripsi disk dan Konfigurasikan TDE

• ApsaraDB RDS for SQL Server: Konfigurasikan fitur enkripsi cloud disk dan Konfigurasikan TDE

• ApsaraDB RDS for PostgreSQL: Gunakan fitur enkripsi cloud disk

ApsaraDB for MongoDB

Metode enkripsi untuk ApsaraDB for MongoDB serupa dengan metode untuk ApsaraDB RDS.

Konfigurasikan TDE untuk instance

PolarDB

Metode enkripsi untuk PolarDB serupa dengan metode untuk ApsaraDB RDS.

• PolarDB for MySQL: Konfigurasikan TDE untuk kluster PolarDB

• PolarDB for Oracle: Konfigurasikan TDE

• PolarDB for PostgreSQL: Konfigurasikan TDE

ApsaraDB for OceanBase

Metode enkripsi untuk ApsaraDB for OceanBase serupa dengan metode untuk ApsaraDB RDS.

Aktifkan TDE

Tair (Redis OSS-compatible)

Metode enkripsi untuk Tair (Redis OSS-compatible) serupa dengan metode untuk ApsaraDB RDS.

Aktifkan TDE

Layanan

Deskripsi

Referensi

ActionTrail

Saat Anda membuat jejak akun tunggal atau multi-akun, Anda dapat mengaktifkan enkripsi untuk acara yang dikirimkan ke OSS di konsol ActionTrail.

• Buat jejak akun tunggal

• Buat jejak multi-akun

Log Service

Log Service terintegrasi dengan KMS untuk mengenkripsi data demi penyimpanan yang aman.

Enkripsi data

Layanan

Deskripsi

Referensi

MaxCompute

MaxCompute menggunakan kunci yang dikelola layanan atau kunci yang dikelola pengguna untuk mengenkripsi data Anda.

Enkripsi penyimpanan

Machine Learning Platform for AI (PAI)

Anda dapat mengonfigurasi SSE untuk layanan Alibaba Cloud yang digunakan di berbagai tahap aliran data dalam arsitektur PAI, seperti mesin komputasi, ACK, dan layanan penyimpanan data. Ini melindungi keamanan dan privasi data.

Tidak ada

Layanan

Deskripsi

Referensi

Alibaba Cloud CDN (CDN)

Saat bucket OSS digunakan sebagai server asal, Anda dapat menggunakan enkripsi berbasis OSS untuk melindungi konten terdistribusi. Untuk informasi lebih lanjut tentang cara mengizinkan CDN mengakses bucket OSS terenkripsi, lihat dokumentasi CDN.

Konfigurasikan akses ke bucket OSS pribadi

ApsaraVideo for Media Processing (MTS)

MTS mendukung dua metode enkripsi: kriptografi eksklusif Alibaba Cloud dan enkripsi HTTP Live Streaming (HLS). Anda dapat mengintegrasikan MTS dengan KMS untuk melindungi konten video tanpa memandang metode enkripsi yang digunakan.

Tidak ada

ApsaraVideo VOD

ApsaraVideo VOD mendukung dua metode enkripsi: kriptografi eksklusif Alibaba Cloud dan enkripsi HLS. Anda dapat mengintegrasikan ApsaraVideo VOD dengan KMS untuk melindungi konten video tanpa memandang metode enkripsi yang digunakan.

• Kriptografi eksklusif Alibaba Cloud

• Enkripsi HLS