Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS,Layanan Alibaba Cloud yang Kompatibel dengan KMS - Key Management Service

Topik ini menjelaskan layanan Alibaba Cloud yang dapat diintegrasikan dengan Key Management Service (KMS).

Penting

Jika Anda membeli layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS dan kebutuhan bisnis Anda dapat dipenuhi menggunakan kunci default, Anda tidak perlu membeli instance KMS. Kunci default mencakup jenis berikut: kunci layanan dan kunci master pelanggan (CMK).

Enkripsi data beban kerja

Layanan

Deskripsi

Referensi

Elastic Compute Service (ECS)

Secara default, fitur enkripsi disk ECS menggunakan kunci layanan untuk mengenkripsi data. Fitur ini juga dapat menggunakan kunci yang dibuat pengguna untuk mengenkripsi data. Untuk mengenkripsi data yang disimpan pada setiap disk, Anda harus menggunakan kunci dan kunci data yang spesifik untuk disk tersebut serta menggunakan mekanisme enkripsi amplop.

Fitur enkripsi disk mengenkripsi data yang ditransmisikan dari instance ECS ke disk dan mendekripsi data yang dibaca dari disk. Enkripsi dan dekripsi data dilakukan pada host tempat instance ECS berada. Selama proses enkripsi dan dekripsi, performa disk tidak terpengaruh.

Setelah disk terenkripsi dibuat dan dilekatkan ke instance ECS, instance ECS akan mengenkripsi data berikut:

Data statis yang disimpan pada disk.
Data yang ditransmisikan antara disk dan instance ECS. Data dalam sistem operasi instance ECS tidak dienkripsi.
Semua snapshot yang dibuat dari disk terenkripsi. Snapshot ini disebut sebagai snapshot terenkripsi.

Ikhtisar enkripsi

Container Service for Kubernetes (ACK)

ACK mendukung enkripsi sisi server (SSE) berbasis KMS untuk jenis data beban kerja berikut:

Kubernetes Secrets
Dalam kluster Kubernetes, Kubernetes Secrets digunakan untuk menyimpan dan mengelola data bisnis sensitif. Untuk informasi lebih lanjut tentang Kubernetes Secrets, lihat Secrets. Data bisnis sensitif mencakup kata sandi aplikasi, sertifikat Transport Layer Security (TLS), dan kredensial yang digunakan untuk mengunduh gambar Docker. Kubernetes menyimpan Secrets di etcd kluster.
Volumes
Volume bisa berupa disk, bucket Object Storage Service (OSS), atau sistem file File Storage NAS. Anda dapat menggunakan SSE berbasis KMS untuk mengenkripsi setiap jenis volume. Misalnya, Anda dapat membuat disk terenkripsi dan menempelkan disk tersebut ke kluster Kubernetes sebagai volume.

Gunakan KMS untuk mengenkripsi Kubernetes Secrets

Enkripsi penyimpanan persisten

Layanan	Deskripsi	Referensi
Object Storage Service (OSS)	OSS menggunakan fitur SSE untuk mengenkripsi data yang diunggah. Saat Anda mengunggah data ke OSS, OSS mengenkripsi data yang diunggah lalu menyimpan data terenkripsi tersebut di penyimpanan persisten. Saat Anda mengunduh data dari OSS, OSS secara otomatis mendekripsi data tersebut lalu mengembalikan data terdekripsi kepada Anda. Selain itu, OSS menyatakan bahwa data telah dienkripsi di OSS dalam header respons HTTP. OSS dapat menggunakan sistem enkripsi yang didedikasikan untuk OSS untuk mengimplementasikan fitur SSE. Metode enkripsi ini disebut SSE-OSS. Kunci yang digunakan dalam sistem enkripsi ini tidak dikelola oleh OSS. Oleh karena itu, Anda tidak dapat menggunakan ActionTrail untuk mengaudit penggunaan kunci-kunci tersebut. OSS juga dapat menggunakan KMS untuk mengimplementasikan fitur SSE. Metode enkripsi ini disebut SSE-KMS. Metode ini memungkinkan OSS menggunakan kunci layanan atau kunci yang dikelola pengguna untuk mengenkripsi data. Anda dapat mengonfigurasi kunci layanan untuk setiap bucket atau menentukan kunci saat mengunggah objek.	Enkripsi sisi server Referensi SDK
File Storage NAS	Secara default, NAS menggunakan kunci layanan untuk mengenkripsi data. Untuk mengenkripsi data yang disimpan pada setiap volume, Anda harus menggunakan kunci dan kunci data yang spesifik untuk volume tersebut dan menggunakan mekanisme enkripsi amplop.	Enkripsi sisi server
Tablestore	Secara default, Tablestore menggunakan kunci layanan untuk mengenkripsi data. Tablestore juga dapat menggunakan kunci yang dikelola pengguna untuk mengenkripsi data Anda. Untuk mengenkripsi data yang disimpan pada setiap tabel, Anda harus menggunakan kunci dan kunci data yang spesifik untuk tabel tersebut dan menggunakan mekanisme enkripsi amplop.	Tidak ada
Cloud Storage Gateway (CSG)	Enkripsi berbasis OSS	Kelola share
Microservices Engine (MSE)	Data konfigurasi di Microservices Registry dari Microservices Engine (MSE) disimpan dalam teks biasa. MSE terintegrasi dengan Key Management Service (KMS) untuk memungkinkan Anda mengenkripsi dan mendekripsi data konfigurasi, seperti sumber data, token, nama pengguna, dan kata sandi. Ini membantu mengurangi risiko kebocoran data sensitif.	Enkripsi konfigurasi

Enkripsi database

Layanan	Deskripsi	Referensi
ApsaraDB RDS	ApsaraDB RDS mendukung metode enkripsi berikut: Gunakan fitur enkripsi disk cloud ApsaraDB RDS menyediakan fitur enkripsi disk secara gratis untuk instance RDS yang menggunakan disk cloud. Setelah Anda mengaktifkan fitur ini untuk instance RDS Anda, fitur ini mengenkripsi seluruh disk data instance Anda berdasarkan penyimpanan blok. Kunci yang digunakan untuk enkripsi disk dienkripsi dan disimpan di KMS. ApsaraDB RDS hanya membaca kunci-kunci tersebut saat Anda memulai atau memigrasi instance RDS Anda. Transparent Data Encryption (TDE) ApsaraDB RDS for MySQL dan ApsaraDB RDS for SQL Server mendukung TDE. Kunci yang digunakan untuk TDE dienkripsi dan disimpan di KMS. ApsaraDB RDS hanya membaca kunci-kunci tersebut saat Anda memulai atau memigrasi instance RDS Anda. Setelah Anda mengaktifkan TDE untuk instance RDS Anda, Anda dapat menentukan database atau tabel untuk enkripsi. Fitur TDE mengenkripsi data dari database atau tabel yang ditentukan sebelum data ditulis ke perangkat tujuan seperti disk, solid-state drive (SSD), atau kartu Peripheral Component Interconnect Express (PCIe), atau ke layanan seperti OSS. Semua file data dan cadangan dari instance RDS disimpan dalam bentuk ciphertext.	ApsaraDB RDS for MySQL: Konfigurasikan fitur enkripsi disk untuk instance ApsaraDB RDS for MySQL dan Konfigurasikan TDE untuk instance ApsaraDB RDS for MySQL ApsaraDB RDS for SQL Server: Konfigurasikan enkripsi disk untuk instance ApsaraDB RDS for SQL Server dan Konfigurasikan TDE untuk instance ApsaraDB RDS for SQL Server ApsaraDB RDS for PostgreSQL: Konfigurasikan enkripsi disk untuk instance ApsaraDB RDS for PostgreSQL
ApsaraDB for MongoDB	Fitur TDE disediakan. Metode enkripsi untuk ApsaraDB for MongoDB serupa dengan metode untuk ApsaraDB RDS.	Konfigurasikan TDE untuk instance
PolarDB		PolarDB for MySQL: Konfigurasikan TDE untuk kluster PolarDB PolarDB for Oracle: Konfigurasikan TDE untuk instance PolarDB for Oracle PolarDB for PostgreSQL: Konfigurasikan TDE
ApsaraDB for OceanBase		TDE
Tair (Redis OSS-compatible)		Aktifkan TDE
AnalyticDB	Baik AnalyticDB maupun ApsaraDB for ClickHouse mendukung enkripsi disk. Enkripsi disk ini berbasis penyimpanan blok, mengenkripsi seluruh disk data. Bahkan jika cadangan data terpapar, mereka tidak dapat didekripsi, memastikan keamanan data Anda.	AnalyticDB for MySQL: Enkripsi disk AnalyticDB for PostgreSQL: Aktifkan enkripsi disk
ApsaraDB for ClickHouse		Enkripsi Disk

Enkripsi data log

Layanan	Deskripsi	Referensi
ActionTrail	Saat Anda membuat jejak akun tunggal atau multi-akun, Anda dapat mengaktifkan enkripsi untuk peristiwa yang dikirimkan ke OSS di konsol ActionTrail.	Buat jejak akun tunggal Buat jejak multi-akun
Simple Log Service (SLS)	Simple Log Service dapat diintegrasikan dengan KMS untuk mengenkripsi data demi penyimpanan yang aman. Perlindungan data statis disediakan.	Enkripsi data

Big data dan AI

Layanan	Deskripsi	Referensi
MaxCompute	MaxCompute dapat menggunakan kunci layanan atau kunci yang dikelola pengguna untuk mengenkripsi data Anda.	Enkripsi data
Platform for AI	Anda dapat mengonfigurasi SSE untuk layanan cloud yang digunakan dalam arsitektur PAI dan berbagai tahap aliran data, seperti mesin komputasi, ACK, dan layanan penyimpanan data. Ini melindungi keamanan dan privasi data.	Tidak ada
E-MapReduce	Setelah mengenkripsi disk data, E-MapReduce mengenkripsi baik transmisi data dinamis maupun data statis yang disimpan di disk. Jika bisnis Anda memiliki persyaratan kepatuhan keamanan, Anda dapat menggunakan fitur ini.	Aktifkan enkripsi disk data

Skenario lainnya

Layanan	Deskripsi	Referensi
Alibaba Cloud CDN (CDN)	Saat bucket OSS digunakan sebagai server asal, Anda dapat menggunakan SSE berbasis OSS untuk melindungi konten terdistribusi.	Berikan izin akses Alibaba Cloud CDN pada bucket OSS pribadi
ApsaraVideo Media Processing (MPS)	MPS mendukung dua metode enkripsi: kriptografi eksklusif Alibaba Cloud dan enkripsi HTTP Live Streaming (HLS). Anda dapat mengintegrasikan MPS dengan KMS untuk melindungi konten video terlepas dari metode enkripsi yang digunakan.	Tidak ada
ApsaraVideo VOD	VOD mendukung dua metode enkripsi: kriptografi eksklusif Alibaba Cloud dan enkripsi HLS. Anda dapat mengintegrasikan VOD dengan KMS untuk melindungi konten video terlepas dari metode enkripsi yang digunakan.	Kriptografi eksklusif Alibaba Cloud Enkripsi HLS
Hologres	Hologres mendukung enkripsi data menggunakan KMS, memastikan perlindungan data statis untuk memenuhi persyaratan regulasi dan kepatuhan perusahaan.	Enkripsi data di Hologres
ApsaraVideo Live	Enkripsi video Alibaba Cloud melindungi data video, memastikan bahwa saat konten diunduh ke perangkat lokal, video tetap terenkripsi dan tidak dapat didistribusikan ulang secara tidak sah. Enkripsi ini secara efektif mencegah kebocoran video dan akses tidak sah, sehingga banyak digunakan di sektor-sektor seperti pendidikan online, keuangan, pelatihan perusahaan, dan konten streaming eksklusif.	Kriptografi eksklusif Alibaba Cloud
Elastic Desktop Service (EDS) Enterprise	Selama pembuatan komputer cloud, Anda dapat mengaktifkan enkripsi disk untuk disk sistem dan disk data.	Buat komputer cloud