KMSと統合できるAlibaba Cloudサービス - Key Management Service

このトピックでは、Key Management Service (KMS) と統合できるAlibaba Cloudサービスについて説明します。

重要

KMSと統合できるAlibaba Cloudサービスを購入し、デフォルトキーを使用してビジネス要件を満たすことができる場合、KMSインスタンスを購入する必要はありません。デフォルトキーには、サービスキーとカスタマーマスターキー (CMK) のタイプがあります。

ワークロードのデータ暗号化

サービス

説明

関連ドキュメント

Elastic Compute Service (ECS)

デフォルトでは、ECSのディスク暗号化機能はサービスキーを使用してデータを暗号化します。この機能は、ユーザー作成キーを使用してデータを暗号化することもできます。各ディスクに保存されているデータを暗号化するには、ディスク固有のキーとデータキーを使用し、エンベロープ暗号化メカニズムを使用する必要があります。

ディスク暗号化機能は、ECSインスタンスからディスクに送信されるデータを暗号化し、ディスクから読み取られるデータを復号化します。データの暗号化と復号化は、ECSインスタンスが存在するホストで実行されます。暗号化および復号化中、ディスクのパフォーマンスは影響を受けません。

暗号化されたディスクが作成され、ECS インスタンスに接続された後、ECS インスタンスは次のデータを暗号化します。

ディスクに保存されている静的データ。
ディスクとECSインスタンス間で送信されるデータ。 ECS インスタンスのオペレーティングシステムのデータは暗号化されません。
暗号化されたディスクから作成されたすべてのスナップショット。これらのスナップショットは、暗号化スナップショットと呼ばれる。

暗号化の概要

Container Service for Kubernetes (ACK)

ACKは、次のタイプのワークロードデータに対して、KMSに基づくサーバー側暗号化 (SSE) をサポートします。

Kubernetesの秘密
Kubernetesクラスターでは、Kubernetes Secretsを使用して機密ビジネスデータを保存および管理します。 Kubernetes Secretsの詳細については、「Secrets」をご参照ください。機密性の高いビジネスデータには、アプリケーションパスワード、Transport Layer Security (TLS) 証明書、Dockerイメージのダウンロードに使用される資格情報が含まれます。 KubernetesはクラスターのetcdにSecretsを保存します。
ボリューム
ボリュームは、ディスク、Object Storage Service (OSS) バケット、またはFile Storage NASファイルシステムです。 KMSベースのSSEを使用して、各タイプのボリュームを暗号化できます。たとえば、暗号化されたディスクを作成し、そのディスクをKubernetesクラスターにボリュームとしてアタッチできます。

KMSを使用したKubernetes Secretsの暗号化

永続ストレージ暗号化

サービス	説明	関連ドキュメント
Object Storage Service (OSS)	OSSはSSE機能を使用してアップロードされたデータを暗号化します。 OSSにデータをアップロードすると、OSSはアップロードされたデータを暗号化し、暗号化されたデータを永続ストレージに保存します。 OSSからデータをダウンロードすると、OSSは自動的にデータを復号化し、復号化されたデータを返します。さらに、OSSは、データがHTTPレスポンスヘッダーでOSS上で暗号化されたことを宣言します。 OSSは、OSS専用の暗号化システムを使用してSSE機能を実装できます。この暗号化方式はSSE-OSSと呼ばれる。この暗号化システムで使用されるキーは、OSSによって管理されません。したがって、ActionTrail を使用してこれらのキーの使用を監査することはできません。 OSS は、KMS を使用して SSE 機能を実装することもできます。この暗号化方式はSSE-KMSと呼ばれる。この方法により、OSSはサービスキーまたはユーザー管理キーを使用してデータを暗号化できます。バケットごとにサービスキーを設定したり、オブジェクトのアップロード時にキーを指定したりできます。	サーバー側暗号化 SDK参照
File Storage NAS	デフォルトでは、NASはサービスキーを使用してデータを暗号化します。各ボリュームに保存されているデータを暗号化するには、ボリュームに固有のキーとデータキーを使用し、エンベロープ暗号化メカニズムを使用する必要があります。	サーバー側暗号化
Tablestore	デフォルトでは、Tablestoreはサービスキーを使用してデータを暗号化します。 Tablestoreは、ユーザー管理キーを使用してデータを暗号化することもできます。各テーブルに格納されているデータを暗号化するには、テーブルに固有のキーとデータキーを使用し、エンベロープ暗号化メカニズムを使用する必要があります。	なし
Cloud Storage Gateway (CSG)	OSSベースの暗号化	共有の管理
Microservices Engine (MSE)	Microservices Engine (MSE) のMicroservices Registryの構成データは、プレーンテキストで保存されます。 MSEはKey Management Service (KMS) と統合されており、データソース、トークン、ユーザー名、パスワードなどの構成データを暗号化および復号化できます。これにより、機密データ漏洩のリスクを軽減できます。	設定の暗号化

データベース暗号化

サービス	説明	関連ドキュメント
ApsaraDB RDS	ApsaraDB RDSは、次の暗号化方法をサポートしています。クラウドディスク暗号化機能の使用 ApsaraDB RDSは、クラウドディスクを使用するRDSインスタンスに対して無料でディスク暗号化機能を提供します。 RDSインスタンスでこの機能を有効にすると、ブロックストレージに基づいてインスタンスのデータディスク全体が暗号化されます。ディスク暗号化に使用されるキーは暗号化され、KMSに保存されます。 ApsaraDB RDSは、RDSインスタンスを開始または移行するときにのみキーを読み取ります。透過的なデータ暗号化 (TDE) ApsaraDB RDS for MySQLおよびApsaraDB RDS for SQL ServerはTDEをサポートしています。 TDEに使用されるキーは暗号化され、KMSに保存されます。 ApsaraDB RDSは、RDSインスタンスを開始または移行するときにのみキーを読み取ります。 RDSインスタンスのTDEを有効にすると、暗号化用のデータベースまたはテーブルを指定できます。 TDE機能は、指定されたデータベースまたはテーブルのデータを暗号化してから、ディスク、ソリッドステートドライブ (SSD) 、Peripheral Component Interconnect Express (PCIe) カードなどの宛先デバイス、またはOSSなどのサービスにデータを書き込みます。 RDS インスタンスのすべてのデータファイルとバックアップは、暗号化テキストで保存されます。	ApsaraDB RDS for MySQL: ApsaraDB RDS for MySQLインスタンスのディスク暗号化機能の設定およびApsaraDB RDS for MySQLインスタンスのTDEの設定 ApsaraDB RDS for SQL Server: ApsaraDB RDS for SQL Serverインスタンスのディスク暗号化の設定およびApsaraDB RDS for SQL ServerインスタンスのTDEの設定 ApsaraDB RDS for PostgreSQL: ApsaraDB RDS for PostgreSQLインスタンスのディスク暗号化の設定
ApsaraDB for MongoDB	TDE機能が提供される。 ApsaraDB for MongoDBの暗号化方法は、ApsaraDB RDSの暗号化方法と同様です。	インスタンスのTDEの設定
PolarDB		PolarDB for MySQL: PolarDBクラスターのTDEの設定 PolarDB for Oracle: PolarDB for OracleインスタンスのTDEの設定 PolarDB for PostgreSQL: TDEの設定
ApsaraDB for OceanBase		TDE
Tair (Redis OSS-compatible)		TDE の有効化
AnalyticDB	AnalyticDBとApsaraDB for ClickHouseはどちらもディスク暗号化をサポートしています。ディスク暗号化はブロックストレージに基づいており、データディスク全体を暗号化します。データバックアップが公開されても、それらを復号化することはできず、データのセキュリティを確保します。	AnalyticDB for MySQL: ディスク暗号化 AnalyticDB for PostgreSQL: ディスク暗号化の有効化
ApsaraDB for ClickHouse		ディスク暗号化

ログデータの暗号化

サービス	説明	関連ドキュメント
ActionTrail	シングルアカウントまたはマルチアカウントのトレイルを作成する場合、ActionTrailコンソールでOSSに配信されるイベントの暗号化を有効にできます。	単一アカウントトレイルの作成マルチアカウント証跡の作成
Simple Log Service (SLS)	Simple Log ServiceをKMSと統合して、安全なストレージのためにデータを暗号化できます。静的データ保護が提供される。	データ暗号化

ビッグデータとAI

サービス	説明	関連ドキュメント
MaxCompute	MaxComputeでは、サービスキーまたはユーザー管理キーを使用してデータを暗号化できます。	データ暗号化
Platform for AI	PAIのアーキテクチャで使用されるクラウドサービス、およびコンピューティングエンジン、ACK、データストレージサービスなどのさまざまなデータフローステージにSSEを設定できます。これにより、データのセキュリティとプライバシーが保護されます。	なし
E-MapReduce	データディスクを暗号化した後、E-MapReduceは動的データ伝送とディスクに保存されている静的データの両方を暗号化します。ビジネスにセキュリティコンプライアンス要件がある場合は、この機能を使用できます。	データディスク暗号化の有効化

他のシナリオ

サービス	説明	関連ドキュメント
Alibaba Cloud CDN (CDN)	OSSバケットをオリジンサーバーとして使用する場合、OSSベースのSSEを使用して分散コンテンツを保護できます。	プライベート OSS バケットに対する Alibaba Cloud CDN アクセス権限の付与
ApsaraVideo Media Processing (MPS)	MPSは、Alibaba Cloud独自の暗号化とHTTPライブストリーミング (HLS) 暗号化の2つの暗号化方法をサポートしています。 MPSとKMSを統合して、使用する暗号化方法に関係なくビデオコンテンツを保護できます。	なし
ApsaraVideo VOD	VODは、Alibaba Cloud独自の暗号化とHLS暗号化の2つの暗号化方法をサポートしています。 VODとKMSを統合して、使用する暗号化方法に関係なくビデオコンテンツを保護できます。	Alibaba Cloud独自の暗号化 HLS暗号化
Hologres	Hologresは、KMSを使用したデータ暗号化をサポートし、企業の規制およびコンプライアンス要件を満たす静的データ保護を保証します。	Hologresでデータを暗号化
ApsaraVideo Live	アリババクラウドのビデオ暗号化は、ビデオデータを保護し、コンテンツがローカルデバイスにダウンロードされたときに、ビデオが暗号化されたままになり、悪意を持って再配信されないようにする。この暗号化は、ビデオの漏洩や不正アクセスを効果的に防ぎ、オンライン教育、金融、企業トレーニング、専用ストリーミングコンテンツなどの分野で広く使用されています。	Alibaba Cloud独自の暗号化
Elastic Desktop Service (EDS) エンタープライズ	クラウドコンピューターの作成中に、システムディスクとデータディスクの両方のディスク暗号化を有効にできます。	クラウドコンピューターの作成