Alibaba Cloud サービスは、サービス管理キーまたはユーザー管理キー (Bring Your Own Key (BYOK) を介してインポートされたキーを含む) を使用してデータを暗号化できます。このページでは、Key Management Service (KMS) との統合をサポートするすべてのサービスを、暗号化シナリオ別に一覧表示します。
KMS と統合された Alibaba Cloud サービスを使用し、サービス管理キーまたはユーザー管理キーを適用したい場合、Dedicated KMS を別途購入する必要はありません。
ワークロードデータの暗号化
| サービス | 暗号化の詳細 | サポートされるキータイプ | リファレンス |
|---|---|---|---|
| Elastic Compute Service (ECS) | エンベロープ暗号化を使用してディスクデータを暗号化します。各ディスクには、独自のカスタマーマスターキー (CMK) とデータキーがあります。暗号化と復号はホスト上で実行されるため、ディスクパフォーマンスに影響はありません。暗号化されたディスクは、ディスクに保存されている静的データ、ディスクとインスタンス間で転送されるデータ、およびディスクから作成されたすべてのスナップショットを保護します。インスタンスのオペレーティングシステム内のデータは暗号化されません。 | サービス管理キー; ユーザー管理キー | 概要 |
| Container Service for Kubernetes (ACK) | KMS を介したサーバ側暗号化 (SSE) を、2 種類のデータタイプでサポートします: Kubernetes Secrets (etcd に保存されているパスワード、Transport Layer Security (TLS) 証明書、Docker 認証情報などの機密データ) と ボリューム (ディスク、Object Storage Service (OSS) バケット、または File Storage NAS ファイルシステム。それぞれがそのボリュームタイプに応じた SSE メソッドを使用して暗号化されます)。 | サービス管理キー; ユーザー管理キー | KMS を使用した Kubernetes Secrets の暗号化 |
| Web App Service | ApsaraDB RDS アクセス認証情報などの機密構成データを暗号化します。 | — | なし |
永続ストレージの暗号化
| サービス | 暗号化の詳細 | サポートされるキータイプ | リファレンス |
|---|---|---|---|
| Object Storage Service (OSS) | アップロード時にデータを暗号化し、ダウンロード時に復号します。OSS は HTTP レスポンスヘッダーでサーバ側暗号化を宣言します。2 つのモードが利用可能です: SSE-OSS は OSS 専用の暗号化システムを使用します (キーは OSS によって管理されず、ActionTrail を介して監査できません)。SSE-KMS は KMS キーを使用し、監査をサポートします。バケットごとにデフォルト CMK を構成するか、アップロード時にオブジェクトごとに CMK を指定できます。 | サービス管理キー (SSE-KMS); ユーザー管理キー (SSE-KMS) | サーバ側暗号化; SDK リファレンス |
| File Storage NAS | デフォルトでエンベロープ暗号化を使用してデータを暗号化します。各ボリュームには、独自の CMK とデータキーがあります。 | サービス管理キー | サーバ側暗号化 |
| Tablestore | デフォルトでエンベロープ暗号化を使用してデータを暗号化します。各テーブルには、独自の CMK とデータキーがあります。 | サービス管理キー; ユーザー管理キー | なし |
| Cloud Storage Gateway (CSG) | OSS ベースの暗号化を使用してデータを暗号化します。 | — | 共有の管理 |
データベースの暗号化
ApsaraDB RDS は 2 つの暗号化メソッドをサポートしています。以下にリストされている他のデータベースサービスも同じモデルに従います。
ディスク暗号化 — 無料で提供されます。ブロックストレージレベルでディスクを暗号化します。キーは暗号化され、KMS に保存されます。ApsaraDB RDS は、インスタンスの起動または移行時にのみそれらを読み取ります。
TDE (透過的データ暗号化) — ApsaraDB RDS for MySQL および ApsaraDB RDS for SQL Server でサポートされています。キーは暗号化され、KMS に保存されます。ApsaraDB RDS は、インスタンスの起動または移行時にのみそれらを読み取ります。TDE を有効にした後、暗号化するデータベースまたはテーブルを指定できます。データは、ターゲットデバイス (ディスク、ソリッドステートドライブ (SSD)、または Peripheral Component Interconnect Express (PCIe) カード) またはサービス (OSS など) に書き込まれる前に暗号化されます。すべてのデータファイルとバックアップは暗号文で保存されます。
| サービス | 暗号化の詳細 | サポートされるキータイプ | 関連ドキュメント |
|---|---|---|---|
| ApsaraDB RDS | ディスク暗号化 (無料) および TDE (透過的データ暗号化) (MySQL および SQL Server) をサポートします。 | サービス管理キー; ユーザー管理キー | ApsaraDB RDS for MySQL: クラウドディスク暗号化機能の使用 および TDE の設定; ApsaraDB RDS for SQL Server: クラウドディスク暗号化機能の設定 および TDE の設定; ApsaraDB RDS for PostgreSQL: クラウドディスク暗号化機能の使用 |
| ApsaraDB for MongoDB | ApsaraDB RDS と同じ暗号化方式をサポートします。 | サービス管理キー; ユーザー管理キー | インスタンスの TDE の設定 |
| PolarDB | ApsaraDB RDS と同じ暗号化方式をサポートします。 | サービス管理キー; ユーザー管理キー | PolarDB for MySQL: PolarDB クラスターの TDE の設定; PolarDB for Oracle: TDE の設定; PolarDB for PostgreSQL: TDE の設定 |
| ApsaraDB for OceanBase | ApsaraDB RDS と同じ暗号化方式をサポートします。 | サービス管理キー; ユーザー管理キー | TDE の有効化 |
| Tair (Redis OSS-compatible) | ApsaraDB RDS と同じ暗号化方式をサポートします。 | サービス管理キー; ユーザー管理キー | TDE の有効化 |
ログデータの暗号化
| サービス | 暗号化の詳細 | サポートされるキータイプ | リファレンス |
|---|---|---|---|
| ActionTrail | OSS に配信されるトレイルイベントを暗号化します。ActionTrail コンソールでシングルアカウントトレイルまたはマルチアカウントトレイルを作成する際に、暗号化を有効にします。 | — | シングルアカウントトレイルの作成; マルチアカウントトレイルの作成 |
| Log Service | 安全なストレージのためにデータを暗号化します。 | — | データ暗号化 |
ビッグデータと AI
| サービス | 暗号化の詳細 | サポートされるキータイプ | リファレンス |
|---|---|---|---|
| MaxCompute | 保存されたデータを暗号化します。 | サービス管理キー; ユーザー管理キー | ストレージ暗号化 |
| Machine Learning Platform for AI (PAI) | PAI データパイプライン内の各サービス (コンピューティングエンジン、ACK、およびデータストレージサービス) に SSE を適用し、パイプライン全体でデータを保護します。 | 基盤となるサービスに依存 | なし |
その他のシナリオ
| サービス | 暗号化の詳細 | サポートされるキータイプ | リファレンス |
|---|---|---|---|
| Alibaba Cloud CDN (CDN) | OSS バケットがオリジンサーバーである場合、OSS ベースの SSE を使用して分散コンテンツを保護します。暗号化された OSS バケットへの CDN アクセスを許可する方法の詳細については、CDN ドキュメントをご参照ください。 | OSS 暗号化モードに依存 | プライベート OSS バケットへのアクセス構成 |
| ApsaraVideo for Media Processing (MTS) | 2 つの暗号化メソッドをサポートします: Alibaba Cloud 専用の暗号化と HTTP ライブストリーミング (HLS) 暗号化。どちらも KMS と統合してビデオコンテンツを保護できます。 | — | なし |
| ApsaraVideo VOD | Alibaba Cloud 専用の暗号化と HLS 暗号化をサポートします。どちらも KMS と統合してビデオコンテンツを保護できます。 | — | Alibaba Cloud 専用の暗号化; HLS 暗号化 なし |