Layanan Alibaba Cloud yang mendukung enkripsi KMS - Key Management Service

Layanan Alibaba Cloud berikut terintegrasi dengan KMS untuk enkripsi data.

Penting

Jika layanan Alibaba Cloud Anda mendukung enkripsi KMS dan service key atau master key default memenuhi kebutuhan Anda, Anda tidak memerlukan instans KMS terpisah.

Enkripsi data workload

Service	Description	Related documentation
Elastic Compute Service (ECS)	Enkripsi disk cloud ECS menggunakan service key secara default, atau CMK yang Anda tentukan. Setiap disk cloud dikaitkan dengan CMK dan kunci data untuk enkripsi amplop. Data yang ditransfer antara instans ECS dan disk cloud-nya dienkripsi dan didekripsi secara otomatis pada host, dengan dampak kinerja yang dapat diabaikan. Setelah Anda membuat disk cloud terenkripsi dan menyambungkannya ke instans ECS, data berikut dienkripsi: Data saat diam (at rest) pada disk cloud Data dalam perjalanan (in transit) antara disk dan instans (data dalam sistem operasi instans tidak dienkripsi) Semua snapshot yang dibuat dari disk cloud terenkripsi (encrypted snapshots)	Encryption overview
Container Service for Kubernetes (ACK)	ACK mendukung enkripsi sisi server berbasis KMS untuk dua jenis data workload: Kubernetes Secrets Secrets Kubernetes menyimpan data sensitif seperti password, sertifikat TLS, dan kredensial pull image di etcd kluster. Volumes Volume (disk cloud, bucket OSS, atau sistem file NAS) masing-masing dapat menggunakan metode enkripsi KMS-nya sendiri.	Use KMS to encrypt secrets at rest
Container Registry (ACR)	ACR mendukung penandatanganan gambar otomatis tingkat namespace untuk mencegah serangan man-in-the-middle dan penggunaan gambar tanpa izin. Gambar yang di-push ditandatangani berdasarkan aturan pencocokan, memastikan integritas dari distribusi hingga penerapan.	Use Container Image Signing
Elastic Container Instance (ECI)	Setiap Pod ECI memiliki ruang penyimpanan sementara sebesar 30 GiB (dapat diperluas) untuk gambar kontainer dan data waktu proses. Aktifkan enkripsi untuk ruang ini guna melindungi data sensitif serta mencegah akses tidak sah dan kebocoran data.	Encrypt temporary storage spaces

Enkripsi data penyimpanan persisten

Service	Description	Related documentation
Object Storage Service (OSS)	OSS mendukung enkripsi sisi server untuk data yang diunggah: Unggah: OSS mengenkripsi data yang diterima sebelum menyimpannya secara persisten. Unduh: OSS mendekripsi data yang disimpan dan mengembalikan teks biasa. Header respons menunjukkan bahwa enkripsi sisi server telah diterapkan. OSS menyediakan dua metode enkripsi sisi server: Server-side encryption with OSS-managed keys (SSE-OSS) Metode lama yang menggunakan kunci internal OSS. Mudah dikonfigurasi tanpa operasi tambahan. Penting Kunci yang dikelola OSS tidak dapat dilacak atau diaudit di ActionTrail. Server-side encryption with KMS (SSE-KMS) Terkait dengan KMS untuk pembuatan dan manajemen kunci, memberikan keamanan dan kepatuhan yang lebih tinggi. SSE-KMS mendukung dua jenis kunci: Service keys: Kunci default yang secara otomatis dibuat dan dikelola KMS untuk OSS. Tidak perlu pembuatan manual. CMKs: Kunci yang Anda buat dan kelola di KMS. Anda mengontrol seluruh siklus hidup kunci (pembuatan, penonaktifan, rotasi) dan dapat melacak penggunaannya di ActionTrail untuk kepatuhan. Catatan Kunci dari instans KMS yang dibagikan melalui Resource Directory juga dapat mengenkripsi data OSS. Share KMS resources among multiple accounts. Metode konfigurasi SSE-KMS mendukung konfigurasi enkripsi fleksibel: Tingkat bucket: Tetapkan CMK default untuk seluruh bucket. Tingkat objek: Tentukan CMK per unggahan objek untuk mengganti default bucket.	Server-side encryption SDK reference
File Storage NAS	Enkripsi NAS menggunakan service key secara default. Setiap volume diberi CMK dan kunci data unik untuk enkripsi amplop.	Server-side encryption
Tablestore	Enkripsi Tablestore menggunakan service key secara default, atau kunci yang Anda pilih. Setiap tabel diberi CMK dan kunci data unik untuk enkripsi amplop.	None
Cloud Storage Gateway (CSG)	Mengenkripsi data berdasarkan enkripsi OSS.	Manage shares
Microservices Engine (MSE)	MSE terintegrasi dengan KMS untuk mengenkripsi data konfigurasi sensitif (sumber data, token, username, dan password), mengurangi risiko kebocoran teks biasa.	Configuration encryption

Enkripsi database

Service	Description	Related documentation
ApsaraDB RDS	RDS menyediakan dua metode enkripsi data berikut: Enkripsi disk cloud Gratis untuk instans RDS dengan disk cloud. Mengenkripsi seluruh disk data pada tingkat penyimpanan blok. Kunci enkripsi dilindungi oleh KMS dan hanya diambil saat startup atau migrasi instans. Transparent Data Encryption (TDE) Tersedia untuk MySQL dan SQL Server. Kunci TDE dilindungi oleh KMS dan hanya diambil saat startup atau migrasi instans. Anda menentukan database atau tabel mana yang akan dienkripsi. Data dienkripsi sebelum mencapai perangkat atau layanan penyimpanan apa pun, memastikan file data dan backup tetap dalam bentuk ciphertext.	MySQL: Cloud disk encryption, Configure TDE SQL Server: Cloud disk encryption, Configure TDE PostgreSQL: Cloud disk encryption
ApsaraDB for MongoDB	Menyediakan TDE. Metode enkripsinya mirip dengan RDS.	Configure TDE
PolarDB		PolarDB for MySQL: Configure TDE PolarDB for Oracle: Configure TDE PolarDB for PostgreSQL: Configure TDE
OceanBase		Enable TDE
Tair (Redis OSS-compatible)		Enable TDE
Tair		Enable TDE
AnalyticDB	Mengenkripsi seluruh disk data pada tingkat penyimpanan blok, memastikan backup yang bocor tidak dapat didekripsi.	Untuk MySQL: Cloud disk encryption Untuk PostgreSQL: Cloud disk encryption
ApsaraDB for ClickHouse		Cloud disk encryption

Enkripsi data log

Service	Description	Related documentation
ActionTrail	Mengenkripsi event operasional yang dikirimkan ke OSS saat membuat jejak akun tunggal atau jejak multi-akun.	Create a single-account trail Create a multi-account trail
Simple Log Service (SLS)	SLS menggunakan KMS untuk mengenkripsi data saat diam (at rest).	Data encryption

Big data dan AI

Service	Description	Related documentation
MaxCompute	MaxCompute mendukung enkripsi data dengan menggunakan service key atau CMK.	Data encryption
Platform for AI	Layanan cloud pada setiap tahap alur data PAI (mesin komputasi, layanan kontainer, penyimpanan data) mendukung enkripsi sisi server untuk melindungi keamanan dan privasi data.	None
E-MapReduce	Enkripsi disk data melindungi data dalam perjalanan maupun saat diam, membantu memenuhi persyaratan keamanan dan kepatuhan.	Enable data disk encryption

Kasus penggunaan tambahan

Service	Description	Related documentation
CDN	Mendukung enkripsi sisi server OSS saat menggunakan bucket OSS sebagai origin.	Redirect requests to a private OSS bucket
ApsaraVideo Media Processing (MPS)	MPS mendukung dua metode perlindungan konten video dengan KMS: enkripsi privat dan enkripsi HLS standar.	None
ApsaraVideo VOD	VOD mendukung dua metode perlindungan konten video dengan KMS: enkripsi video Alibaba Cloud dan enkripsi HLS standar.	Alibaba Cloud video encryption (proprietary) HLS encryption
Hologres	Hologres menggunakan KMS untuk mengenkripsi data saat diam, membantu memenuhi persyaratan kepatuhan regulasi dan keamanan.	Data storage encryption
ApsaraVideo Live	Mengenkripsi data video sehingga video yang diunduh tetap terenkripsi dan tidak dapat didistribusikan ulang. Mencegah kebocoran dan hotlinking tidak sah untuk konten berhak cipta, seperti pendidikan online, keuangan, pelatihan industri, dan serial drama eksklusif.	Alibaba Cloud video encryption
Wuying Workspace Enterprise Edition	Aktifkan enkripsi disk untuk disk sistem dan disk data saat membuat komputer cloud.	Create a cloud computer