密钥管理服务：使用KMS加密云服务

加密云服务器ECS

您可以使用KMS加密ECS的资源，例如：ECS系统盘、数据盘，以及和它们相关的镜像、快照。

如下以创建ECS实例时加密数据盘为例，为您介绍加密ECS的方法。其他操作方法，请参见使用KMS一键保护ECS工作负载。

1. 登录ECS管理控制台。
2. 在左侧导航栏，选择实例与镜像 > 实例。
3. 在顶部导航栏，选择地域。
4. 在实例页面，单击创建实例。
5. 在基础配置页面的存储区域，按以下步骤加密数据盘。
   1. 单击增加一块数据盘。
   2. 设置数据盘规格参数。
   3. 选中加密，然后在下拉列表中选择一个密钥。
      您可以选择KMS服务主密钥（Default Service CMK）或在KMS中提前创建的用户主密钥进行加密。
6. 根据控制台提示完成其他参数设置。
   更多信息，请参见使用向导创建实例。

加密对象存储OSS

当文件上传到对象存储OSS的存储空间（Bucket）后，使用KMS自动对其进行落盘加密存储。

• 在创建Bucket时进行加密
  1. 登录OSS管理控制台。
  2. 在概览页面的Bucket管理区域，单击创建Bucket。
  3. 在创建Bucket面板的服务端加密方式区域，选择KMS。
  4. 选择加密算法。
     • AES256
     • SM4
       说明 KMS通过托管密码机提供SM4算法，详情请参见托管密码机概述。
  5. 选择加密密钥。

     您可以选择KMS密钥ID，使用指定的CMK生成不同的密钥来加密不同的Object，具有解密权限的用户下载Object时会自动解密。选择指定的密钥ID前，需在密钥管理服务控制台创建一个与Bucket相同地域的普通密钥或外部密钥。具体操作，请参见创建密钥。

  6. 根据控制台提示完成其他参数设置。

     更多信息，请参见创建存储空间。

• 对已有Bucket进行加密
  1. 登录OSS管理控制台。
  2. 在左侧导航栏，单击Bucket列表。
  3. 单击目标Bucket名称。
  4. 在左侧导航栏，选择基础设置 > 服务器端加密。
  5. 在服务器端加密区域，单击设置。
     1. 设置服务端加密方式为KMS。
     2. 选择加密算法。
        • AES256
        • SM4
          说明 KMS通过托管密码机提供SM4算法，详情请参见托管密码机概述。
     3. 选择加密密钥。

        您可以选择KMS密钥ID，使用指定的CMK生成不同的密钥来加密不同的Object，具有解密权限的用户下载Object时会自动解密。选择指定的密钥ID前，需在密钥管理服务控制台创建一个与Bucket相同地域的普通密钥或外部密钥。具体操作，请参见创建密钥。

     4. 单击保存。
        注意 开启或修改Bucket默认加密方式不会对Bucket内已有文件添加或修改加密方式。

加密容器服务Kubernetes版ACK

在ACK Pro托管集群中，您可以使用在KMS中创建的密钥加密Kubernetes Secret密钥。

1. 登录容器服务管理控制台。
2. 在左侧导航栏，单击集群。
3. 在集群列表页面，单击页面右上角的集群模板。
4. 在选择集群模板对话框，选择Pro托管集群，然后单击创建。
5. 在ACK托管版页签，找到Secret落盘加密，选中选择KMS密钥，在下拉列表中选择KMS密钥ID。
6. 根据控制台提示完成其他参数设置。
   更多信息，请参见创建ACK Pro版集群。

加密云数据库RDS

云数据库RDS数据加密支持云盘加密和透明数据加密TDE。如下以云数据库RDS MySQL版的云盘加密为例，为您介绍加密RDS的方法。

1. 登录RDS实例创建页面。
2. 在存储类型区域，选择SSD云盘或ESSD云盘，然后选中右侧云盘加密。
3. 在密钥区域下拉列表中选择KMS密钥ID。
   
4. 根据控制台提示完成其他参数设置。
   更多信息，请参见创建RDS MySQL实例。

加密更多云服务

更多云服务加密介绍，请参见支持服务端集成加密的云服务。