文档首页/ 数据加密服务 DEW/ 常见问题/ 密钥管理/ 哪些云服务使用KMS加密数据?
更新时间:2025-06-20 GMT+08:00
查看PDF
分享

哪些云服务使用KMS加密数据?

对象存储服务、云硬盘、镜像服务、弹性文件服务、文档数据库服务和云数据库借助KMS实现了加密特性。

表1 使用KMS加密的云服务列表

服务名称

如何使用

参考文档

对象存储服务 OBS

对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时,数据会在服务端加密成密文后安全地存储在对象存储服务中;用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式(即SSE-KMS加密方式),该加密方式是通过KMS提供密钥的方式进行服务端加密。

OBS服务端加密

云硬盘 EVS

在创建云硬盘时,用户启用云硬盘的加密功能,系统将使用用户主密钥产生的数据密钥对磁盘进行加密,则在使用该云硬盘时,存储到云硬盘的数据将会自动加密。

EVS服务端加密

镜像服务 IMS

用户通过外部镜像文件创建私有镜像时,可启用私有镜像加密功能,选择KMS提供的用户主密钥对镜像进行加密。

IMS服务端加密

弹性文件服务 SFS

用户通过弹性文件服务创建文件系统时,选择KMS提供的用户主密钥对文件系统进行加密,当使用该文件系统时,存储到文件系统的文件将会自动加密。

SFS服务端加密

云数据库 RDS

在购买数据库实例时,用户启用数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。

RDS数据库加密

文档数据库服务 DDS

在购买文档数据库实例时,用户启用文档数据库实例的磁盘加密功能,选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密,选择磁盘加密后会提高数据的安全性。

DDS数据库加密

弹性云服务器 ECS

弹性云服务器是通过镜像加密或者数据盘加密来实现ECS资源加密。

  • 在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。镜像加密请参见IMS服务端加密
  • 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。

    数据盘加密请参见EVS服务端加密

ECS服务端加密

高性能弹性文件服务 SFS Turbo

创建SFS Turbo文件系统时,选择KMS提供的密钥对文件系统进行加密,使核心数据更安全。

创建SFS Turbo文件系统

专属主机 DeH

用户加密,是指用户通过提供的加密特性,对弹性云服务器资源进行加密,从而提升数据的安全性。用户加密功能包括镜像加密和云硬盘加密。

专属主机加密

函数工作流FunctionGraph

若需在函数运行时解密敏感数据(如数据库密码、API密钥),可通过KMS SDK动态操作密钥。用户可以将加解密密钥托管在KMS,并在IAM服务为函数创建委托授权FunctionGraph访问KMS。

用户配置安全

云硬盘备份 VBS

云硬盘备份的加密功能依赖于密钥管理服务。加密云硬盘的备份数据会以加密方式存放。

创建云硬盘备份

云容器引擎 CCE

可以使用KMS密钥对CCE中存储的Kubernetes Secret对象进行信封加密,为应用程序的敏感数据提供安全保护。

使用KMS进行Secret落盘加密

专属分布式存储服务 DSS

当您由于业务需求从而需要对存储在磁盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的磁盘进行加密。加密磁盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。

磁盘加密

云容器实例 CCI

云容器实例支持将云硬盘(EVS)挂载到容器中,将通过KMS对云硬盘进行加密。

云硬盘存储卷

容器镜像服务 SWR

容器镜像服务企业版支持使用数据加密服务(DEW)中创建的密钥对镜像进行签名,保障镜像分发部署过程中的一致性,避免中间人攻击和非法镜像更新及运行。

镜像签名

云数据库 TaurusDB

透明数据加密(Transparent Data Encryption,简称TDE),对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,能有效保护数据库及数据文件的安全。

开启TaurusDB透明数据加密

云运维中心 COC

为了更加安全地保护您的主机账号密码,云运维中心会使用KMS来加密您的主机账号密码。在使用密钥管理之前,请先在KMS创建好密钥。

密钥管理

数据仓库服务 GaussDB(DWS)

在DWS中,可以为集群启用数据库加密,以保护静态数据。当您为集群启用加密时,该集群及其快照的数据都会得到加密处理。

DWS数据库加密

云数据迁移 CDM

在迁移文件到文件系统时,CDM支持通过KMS提供的密钥对文件加解密。

迁移文件时加解密

工业数字模型驱动引擎 iDME

数据建模引擎运行SDK资源规划,可对属性的值加密。

规划数据建模引擎SDK资源

数据安全中心 DSC

通过加密算法和加密主密钥生成一种加密配置,达到数据脱敏的效果。

加密脱敏

云桌面 Workspace

购买云桌面时,可以使用KMS提供的密钥对磁盘进行加密。

购买桌面

云数据库 GeminiDB

购买云数据库实例时,可以使用KMS提供的密钥对数据库中静态数据加密。

购买并连接集群版实例
父主题: 密钥管理

相关文档