すべてのプロダクト
Search

このプロダクト

    Key Management Service:KMSを使用したクラウドサービスのリソースの暗号化

    ドキュメントセンター

    Key Management Service:KMSを使用したクラウドサービスのリソースの暗号化

    最終更新日:Feb 26, 2025

    鍵管理サービス(KMS)は、Elastic Compute Service(ECS)、Object Storage Service(OSS)、Container Service for Kubernetes(ACK)、ApsaraDB RDSなどのクラウドサービスと連携しています。KMSを使用してこれらのクラウドサービスのリソースを暗号化することで、クラウドでのデータセキュリティを確保することができます。

    ECSリソースの暗号化

    KMSを使用して、システムディスク、データディスク、関連するイメージやスナップショットなどのECSリソースを暗号化できます。

    次の例では、ECS インスタンスの作成時にデータディスクを暗号化する方法を説明します。ECSリソースを暗号化する他の方法の詳細については、以下を参照してください。 KMSを使用して数回クリックするだけでECSワークロードを保護する.

    1. ECSコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、インスタンス&画像 > インスタンス.

    3. 上部のナビゲーションバーで、ECSインスタンスを作成するリージョンを選択します。

    4. インスタンス ページで、[インスタンスの作成] をクリックします。

    5. [基本構成] ステップの [ストレージ] セクションで、次の操作を実行してデータディスクを暗号化します。

      1. [ディスクの追加] をクリックします。

      2. ディスクの仕様を設定する。

      3. Disk Encryption をクリックし、ドロップダウン・リストからキーを選択します。

        [既定のサービスCMK] を選択して既定のサービス顧客マスターキー (CMK) を使用するか、KMSで作成した暗号化用のCMKを選択できます。 ECSインスタンスの作成時にデータディスクを暗号化する

    6. 画面上の指示に従って他のパラメータを設定します。

      詳細については、「[カスタム起動] タブでインスタンスを作成する」をご参照ください。

    OSSリソースの暗号化

    OSSバケットにオブジェクトをアップロードした後、KMSは自動的にオブジェクトを暗号化する。

    • OSSバケットの作成時に暗号化を有効にする

      1. OSS コンソールにログインします。

      2. [概要] ページの [バケット管理] セクションで、[バケットの作成] をクリックします。

      3. [バケットの作成] パネルで、[暗号化方法] パラメーターを [KMS] に設定します。

      4. 暗号化アルゴリズムパラメーターを設定します。 設定可能な値は以下のとおりです。

        • AES256

        • SM4

          説明 KMSは、Managed HSMを使用してSM4アルゴリズムを提供します。詳細については、「概要」をご参照ください。

      5. CMKパラメーターを設定します。

        CMK IDを選択できます。 OSSは、指定されたCMKを使用して異なるキーを生成し、異なるオブジェクトを暗号化します。 オブジェクトは、解読権限を持つユーザーによってダウンロードされると自動的に解読されます。 CMK IDを選択する前に、KMSコンソールのバケットと同じリージョンに通常のCMKまたは外部CMKを作成する必要があります。 詳細については、「CMK を作成する」をご参照ください。

      6. 画面上の指示に従って他のパラメータを設定します。

        詳細については、「バケットの作成」をご参照ください。

    • 既存のバケット内のデータの暗号化

      1. OSS コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[バケット] をクリックします。

      3. データを暗号化するバケットの名前をクリックします。

      4. 左側のナビゲーションウィンドウで、[基本設定] > [サーバー側の暗号化] を選択します。

      5. [サーバー側暗号化] セクションで、[設定] をクリックします。

        1. [暗号化方法] パラメーターを [KMS] に設定します。

        2. 暗号化アルゴリズムパラメーターを設定します。 設定可能な値は以下のとおりです。

          • AES256

          • SM4

            説明 KMSは、Managed HSMを使用してSM4アルゴリズムを提供します。詳細については、「概要」をご参照ください。

        3. CMKパラメーターを設定します。

          CMK IDを選択できます。 OSSは、指定されたCMKを使用して異なるキーを生成し、異なるオブジェクトを暗号化します。 オブジェクトは、解読権限を持つユーザーによってダウンロードされると自動的に解読されます。 CMK IDを選択する前に、KMSコンソールのバケットと同じリージョンに通常のCMKまたは外部CMKを作成する必要があります。 詳細については、「CMK を作成する」をご参照ください。

        4. [保存] をクリックします。

          重要

          バケットの既定の暗号化方法を変更しても、バケット内の既存のオブジェクトの暗号化設定には影響しません。

    ACKリソースの暗号化

    ACKのProfessionalマネージドKubernetesクラスターを使用すると、KMSで作成したCMKを使用してKubernetesシークレットを暗号化できます。

    1. ACKコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    3. [クラスター] ページの右上角にある [クラスターテンプレート] をクリックします。

    4. Select Cluster Templateダイアログボックスで、, select Professional Managed Kubernetes Clusterを選択し Createクリックします。

    5. [Managed Kubernetes] タブで、[Secret Encryption] パラメーターを見つけ、[select Key] を選択し、ドロップダウンリストからCMK IDを選択します。

    6. 画面上の指示に従って他のパラメータを設定します。

      詳細については、「ACK マネージドクラスターの作成」をご参照ください。

    ApsaraDB RDSリソースの暗号化

    ApsaraDB RDSは、ディスク暗号化および透過的データ暗号化(TDE)をサポートします。 次の例では、ApsaraDB RDS for MySQLインスタンスを作成するときに、標準または拡張SSDを暗号化する方法について説明します。

    1. ApsaraDB RDSコンソールの [基本設定] ページに移動します。

    2. ストレージタイプパラメーターを標準SSDまたは拡張SSD (推奨) に設定します。 次に、[ディスク暗号化] を選択します。

    3. Key ドロップダウン・リストからCMK IDを選択します。

      SSD

    4. 画面上の指示に従って他のパラメータを設定します。

      詳細については、「「ApsaraDB RDS for MySQL インスタンスの作成」」をご参照ください。

    他のクラウドサービスのリソースの暗号化

    他のクラウドサービスのリソースを暗号化する方法については、「KMSと統合できるAlibaba Cloudサービス」をご参照ください。