Key Management Service:KMSと統合できるAlibaba Cloudサービス

サービス

説明

関連ドキュメント

Elastic Compute Service (ECS)

デフォルトでは、ECSのディスク暗号化機能はサービス管理キーを使用してデータを暗号化します。 この機能は、ユーザー管理キーを使用してデータを暗号化することもできます。 各ディスクには独自の顧客マスターキー (CMK) とデータキーがあり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。

ECSインスタンスは、暗号化されたディスクに送信されたデータを自動的に暗号化し、ディスクから読み取られたデータを復号化します。 データは、ECSインスタンスが存在するホストで暗号化または復号化されます。 暗号化および復号化中、ディスクのパフォーマンスは影響を受けません。

クラウドディスクの暗号化

Container Service for Kubernetes (ACK)

ACKは、次のタイプのワークロードデータに対して、KMSに基づくサーバー側暗号化 (SSE) をサポートします。

• Kubernetesの秘密

  Kubernetesクラスターでは、Kubernetes Secretsを使用して機密ビジネスデータを保存および管理します。 Kubernetes Secretsの詳細については、「Secrets」をご参照ください。 機密性の高いビジネスデータには、アプリケーションパスワード、Transport Layer Security (TLS) 証明書、Dockerイメージのダウンロードに使用される資格情報が含まれます。 KubernetesはクラスターのetcdにSecretsを保存します。

• ボリューム

  ボリュームは、ディスク、Object Storage Service (OSS) バケット、またはFile Storage NASファイルシステムです。 KMSの特定のSSE暗号化方法を使用して、各タイプのボリュームを暗号化できます。 たとえば、暗号化されたディスクを作成し、そのディスクをKubernetesクラスターにボリュームとしてアタッチできます。

KMS を使用して Kubernetes Secrets を暗号化する

Web App Service

Web App ServiceはKMSと統合され、ApsaraDB RDSのアクセス資格情報などの機密構成データを暗号化します。

なし

サービス

説明

関連ドキュメント

Object Storage Service (OSS)

OSSは、OSS専用の暗号化システムを使用してSSE機能を実装できます。 この場合、この機能はSSE-OSSと呼ばれます。 この暗号化システムで使用されるキーは、OSSによって管理されません。 したがって、ActionTrail を使用してこれらのキーの使用を監査することはできません。

OSSはKMSを使用してSSE機能を有効にすることもできます。 この場合、この機能はSSE-KMSと呼ばれます。 OSSは、サービス管理キーまたはユーザー管理キーを使用してデータを暗号化します。 OSSでは、バケットごとにデフォルトのCMKを設定したり、オブジェクトをアップロードするときに使用できるCMKを指定したりできます。

• サーバー側暗号化

• SDKリファレンス

File Storage NAS

デフォルトでは、File Storage NASはサービス管理キーを使用してデータを暗号化します。 各ボリュームには独自のCMKとデータキーがあり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。

サーバー側暗号化

Tablestore

デフォルトでは、Tablestoreはサービス管理キーを使用してデータを暗号化します。 Tablestoreは、ユーザー管理キーを使用してデータを暗号化することもできます。 各テーブルには独自のCMKとデータキーがあり、エンベロープ暗号化メカニズムを使用してデータを暗号化します。

なし

Cloud Storage Gateway (CSG)

共有の管理

サービス

説明

関連ドキュメント

ApsaraDB RDS

ApsaraDB RDSは、次の暗号化方法をサポートしています。

• ディスク暗号化

  ApsaraDB RDSインスタンスで使用されるディスクの場合、Alibaba Cloudはディスク暗号化機能を無料で提供します。 この機能は、ブロックストレージに基づいてディスクを暗号化します。 ディスク暗号化に使用されるキーは暗号化され、KMSに保存されます。 ApsaraDB RDSは、インスタンスの開始または移行時にのみキーを読み取ります。

• 透過的なデータ暗号化 (TDE)

  ApsaraDB RDS for MySQLおよびApsaraDB RDS for SQL ServerはTDEをサポートしています。 TDEに使用されるキーは暗号化され、KMSに保存されます。 ApsaraDB RDSは、インスタンスの開始または移行時にのみキーを読み取ります。 ApsaraDB RDSインスタンスに対してTDEを有効にすると、暗号化するデータベースまたはテーブルを指定できます。 指定されたデータベースまたはテーブルのデータは、ディスク、ソリッドステートドライブ (SSD) 、Peripheral Component Interconnect Express (PCIe) カードなどの宛先デバイス、またはOSSなどのサービスに書き込まれる前に暗号化されます。 ApsaraDB RDSインスタンスのすべてのデータファイルとバックアップは暗号文で保存されます。

• ApsaraDB RDS for MySQL: ディスク暗号化とTDEの設定

• ApsaraDB RDS for SQL Server: クラウドディスク暗号化機能の設定とTDEの設定

• ApsaraDB RDS for PostgreSQL: クラウドディスク暗号化機能の使用

ApsaraDB for MongoDB

ApsaraDB for MongoDBの暗号化方法は、ApsaraDB RDSの暗号化方法と同様です。

インスタンスのTDEの設定

PolarDB

PolarDBの暗号化方法は、ApsaraDB RDSの暗号化方法と同様です。

• PolarDB for MySQL: PolarDB クラスタの TDE を構成する

• PolarDB for Oracle:

  TDEの設定

• PolarDB for PostgreSQL: TDEの設定

ApsaraDB for OceanBase

ApsaraDB for OceanBaseの暗号化方法は、ApsaraDB RDSの暗号化方法と同様です。

TDE の有効化

Tair (Redis OSS-compatible)

Tair (Redis OSS-compatible) の暗号化方法は、ApsaraDB RDSの暗号化方法と同様です。

TDE の有効化

サービス

説明

関連ドキュメント

ActionTrail

シングルアカウントまたはマルチアカウントのトレイルを作成する場合、ActionTrailコンソールでOSSに配信されるイベントの暗号化を有効にできます。

• 単一アカウントトレイルの作成

• マルチアカウント証跡の作成

Log Service

Log ServiceはKMSと統合され、安全なストレージのためにデータを暗号化します。

データ暗号化

サービス

説明

関連ドキュメント

MaxCompute

MaxComputeでは、サービス管理キーまたはユーザー管理キーを使用してデータを暗号化します。

ストレージ暗号化

AI向け機械学習プラットフォーム (PAI)

コンピューティングエンジン、ACK、データストレージサービスなど、PAIのアーキテクチャのさまざまなデータフローステージで使用されるAlibaba CloudサービスのSSEを設定できます。 これにより、データのセキュリティとプライバシーが保護されます。

なし

サービス

説明

関連ドキュメント

Alibaba Cloud CDN (CDN)

OSSバケットをオリジンサーバーとして使用する場合、OSSベースのSSEを使用して分散コンテンツを保護できます。 CDNが暗号化されたOSSバケットにアクセスできるようにする方法の詳細については、「CDNドキュメント」をご参照ください。

プライベート OSS バケットへのアクセスの構成

ApsaraVideo for Media Processing (MTS)

MTSは、Alibaba Cloud独自の暗号化とHTTPライブストリーミング (HLS) 暗号化の2つの暗号化方法をサポートしています。 MTSとKMSを統合して、使用する暗号化方法に関係なくビデオコンテンツを保護できます。

なし

ApsaraVideo VOD

ApsaraVideo VODは、Alibaba Cloud独自の暗号化とHLS暗号化の2つの暗号化方法をサポートしています。 ApsaraVideo VODをKMSと統合して、使用する暗号化方法に関係なくビデオコンテンツを保護できます。

• Alibaba Cloud独自の暗号化

• HLS 暗号化