Simple Log Service (SLS) は、Key Management Service (KMS) を使用して保管中のデータを暗号化し、安全なストレージを実現します。また、SSL/TLS を使用した HTTPS 経由の暗号化伝送もサポートしており、クラウドにおけるセキュリティリスクからデータを保護します。
サーバー側の暗号化
SLS は、以下の 2 つの暗号化メカニズムをサポートしています。
Simple Log Service が提供するサービスキーを使用した暗号化
SLS は、Logstore ごとに一意のデータ暗号化キーを生成してデータを暗号化します。このキーに有効期限はありません。
サポートされているデータ暗化アルゴリズムは、AES アルゴリズム (デフォルト) と SM4 暗号化アルゴリズムです。
Bring Your Own Key ( BYOK ) を使用した暗号化
KMS コンソールでカスタマーマスターキー (CMK) を作成し、SLS に必要な権限を付与できます。SLS が KMS API を呼び出すと、この CMK を使用してデータ暗号化用のキーを作成します。CMK を削除または無効化すると、BYOK キーは無効になります。
重要
KMS BYOK によって生成された CMK が無効になると、その Logstore に対するすべての読み取りおよび書き込みリクエストが失敗します。
詳細については、「データ暗号化」をご参照ください。
HTTPS による暗号化伝送
SLS は、HTTP または HTTPS 経由でのアクセスをサポートしています。Secure Sockets Layer (SSL)/Transport Layer Security (TLS) は、アプリケーション間で伝送されるデータの機密性とデータ整合性を提供します。
Logtail を使用した暗号化伝送
Logtail は、SLS がログを収集するために使用するエージェントです。伝送中のデータ改ざんからデータを保護するため、Logtail は HTTPS チャンネルを使用してサーバーから非公開トークンを取得し、すべてのログデータパケットに署名します。
SDK を使用した暗号化伝送
SLS は、Java、Python、.NET、PHP、C など、さまざまなプログラミング言語の SDK を提供しています。これらの SDK を使用して、HTTPS 経由で SLS のデータの読み取りや書き込みができます。
OSS に転送されるデータの暗号化伝送
OSS へのデータ転送には 2 つのプロセスが含まれます。最初のプロセスは、SLS ストレージから SLS 転送サービスへのデータの読み取りです。このプロセスは SLS クラスター内で実行され、データ改ざんを防ぎます。2 番目のプロセスは、SLS と OSS 間のデータ伝送です。この伝送では、HTTPS チャンネルを使用してサーバーから非公開トークンを取得し、送信されるすべてのログデータパケットに署名してセキュリティを確保します。