[6.1.4.1. RAM和STS支持](152.md)
- 法律声明
- 目录
- 1. 概述
- 2. 安全责任共担
- 2.1. 阿里云安全责任
- 2.2. 客户安全责任
- 3. 安全合规
- 3.1. 监管合规
- 3.2. 个人信息保护
- 3.3. 透明度
- 4. 阿里云基础设施
- 5. 阿里云安全架构
- 5.1. 云平台安全
- 5.1.1. 物理安全
- 5.1.1.1. 机房容灾
- 5.1.1.2. 人员管理
- 5.1.1.3. 运维审计
- 5.1.1.4. 数据销毁
- 5.1.1.5. 网络隔离
- 5.1.2. 硬件安全
- 5.1.2.1. 硬件固件安全
- 5.1.2.2. 加密计算
- 5.1.2.3. 可信计算
- 5.1.3. 虚拟化安全
- 5.1.3.1. 租户隔离
- 5.1.3.2. 安全加固
- 5.1.3.3. 逃逸检测
- 5.1.3.4. 补丁热修复
- 5.1.3.5. 数据清零
- 5.1.4. 云产品安全
- 5.1.5. 云平台内部身份和访问控制
- 5.1.5.1. 身份管理
- 5.1.5.2. 密码管理
- 5.1.5.3. 权限管理
- 5.1.6. 云平台安全监控和运营
- 5.1.6.1. 云产品安全生命周期(SPLC)
- 5.1.6.2. 云平台安全监控
- 5.1.6.3. 云平台侧蓝军渗透测试
- 5.1.6.4. 云平台安全应急响应
- 5.1.6.5. 变更管理
- 5.2. 用户基础安全
- 5.2.1. 主机安全
- 5.2.1.1. 入侵检测
- 5.2.1.2. 病毒检测
- 5.2.1.3. 漏洞管理
- 5.2.1.4. OS和镜像加固
- 5.2.1.5. 宕机迁移
- 5.2.2. 容器安全
- 5.2.2.1. 安全沙箱容器
- 5.2.2.2. 入侵检测
- 5.2.2.3. 镜像扫描
- 5.2.2.4. 镜像签名
- 5.2.3. 网络安全
- 5.2.3.1. VPC
- 5.2.3.2. 安全组
- 5.2.3.3. 云防火墙
- 5.2.3.4. DDoS防御
- 5.3. 用户数据安全
- 5.3.1. 数据保护
- 5.3.1.1. 数据分类
- 5.3.1.2. 数据脱敏
- 5.3.1.3. 数据防泄露
- 5.3.1.4. 数据完整性
- 5.3.1.5. 数据高可用
- 5.3.2. 全链路加密
- 5.3.2.1. 传输加密
- 5.3.2.2. 存储加密
- 5.3.2.3. 加密计算
- 5.3.2.4. 加密服务
- 5.3.2.5. SSL证书服务
- 5.3.3. 密钥管理
- 5.3.3.1. 托管HSM
- 5.3.3.2. 自选密钥
- 5.3.3.3. 密钥轮转
- 5.4. 用户应用安全
- 5.4.1. 应用环境安全
- 5.4.1.1. 漏洞扫描
- 5.4.1.2. 代码托管
- 5.4.1.3. 代码审计
- 5.4.1.4. 安全加固
- 5.4.2. 应用配置安全
- 5.4.2.1. ACM配置加密
- 5.4.3. 应用保护
- 5.4.3.1. WAF
- 5.5. 用户业务安全
- 5.5.1. 身份验证
- 5.5.1.1. 实人认证
- 5.5.2. 内容检测
- 5.5.2.1. 内容安全
- 5.5.3. 业务风控
- 5.5.3.1. 风险识别
- 5.5.3.2. 爬虫风险管理
- 5.5.3.3. 游戏盾
- 5.6. 用户账户安全
- 5.6.1. 身份认证
- 5.6.1.1. 账号密码认证
- 5.6.1.2. Access Key(AK)认证
- 5.6.1.3. STS认证
- 5.6.1.4. MFA认证
- 5.6.1.5. SSO认证
- 5.6.1.6. SSH密钥对
- 5.6.2. 访问授权
- 5.6.2.1. RAM
- 5.6.3. 账号管理
- 5.6.3.1. 阿里云账号
- 5.6.3.2. RAM用户
- 5.6.3.3. RAM角色
- 5.6.3.4. Resource Directory(多账号管理)
- 5.6.4. 操作审计
- 5.6.4.1. ActionTrail
- 5.6.4.2. 堡垒机
- 5.6.5. 应用管理
- 5.6.5.1. 应用身份服务
- 5.7. 用户安全监控和运营
- 5.7.1. 威胁检测和响应
- 5.7.1.1. 云安全中心
- 5.7.1.2. 应急响应
- 5.7.2. 配置检查
- 5.7.2.1. 配置审计
- 5.7.2.2. 云安全中心
- 5.7.3. 日志审计
- 5.7.3.1. 日志监控
- 5.7.3.2. 平台侧操作日志透明化
- 5.7.4. 安全测试
- 5.7.4.1. 渗透测试
- 5.7.4.2. 安全众测
- 5.7.5. 安全咨询
- 5.7.5.1. 安全管家
- 5.7.5.2. 等保咨询
- 5.7.5.3. PCI-DSS合规咨询
- 6. 云产品安全
- 6.1. 弹性计算
- 6.1.1. 云服务器 ECS
- 6.1.1.1. 租户隔离
- 6.1.1.2. 安全组防火墙
- 6.1.1.3. SSH密钥对
- 6.1.1.4. 防IP/MAC/ARP欺骗
- 6.1.1.5. 高可用性
- 6.1.1.6. 快照与镜像
- 6.1.1.7. 安全镜像
- 6.1.1.8. 加密镜像
- 6.1.1.9. 补丁热修复
- 6.1.1.10. RAM和STS支持
- 6.1.1.11. 实例角色
- 6.1.2. 弹性裸金属服务器(神龙)
- 6.1.2.1. 用户独占计算资源
- 6.1.2.2. 加密计算
- 6.1.3. 弹性伸缩
- 6.1.3.1. 身份认证
- 6.1.3.2. RAM和STS支持
- 6.1.4. 资源编排
- 6.1.4.1. RAM和STS支持
- 6.1.5. 容器服务
- 6.1.5.1. RAM和STS支持
- 6.1.5.2. 支持集群内资源的RBAC授权管理
- 6.1.5.3. 审计支持
- 6.1.5.4. 集群安全加固
- 6.1.5.5. 容器Runtime安全监控
- 6.1.5.6. 安全沙箱容器支持
- 6.2. 存储
- 6.2.1. 块存储
- 6.2.1.1. 数据加密
- 6.2.1.2. 高可用性
- 6.2.2. 文件存储
- 6.2.2.1. 访问控制
- 6.2.2.2. RAM支持
- 6.2.2.3. 高可用性
- 6.2.2.4. NFS数据传输加密
- 6.2.2.5. 数据加密
- 6.2.3. 对象存储
- 6.2.3.1. 身份认证
- 6.2.3.2. 访问控制
- 6.2.3.3. RAM和STS支持
- 6.2.3.4. 高可用性
- 6.2.3.5. 租户隔离
- 6.2.3.6. 访问日志
- 6.2.3.7. 防盗链
- 6.2.3.8. 跨域访问
- 6.2.3.9. 服务器端加密
- 6.2.3.10. 客户端加密
- 6.2.3.11. 合规保留策略
- 6.2.3.12. 版本控制
- 6.3. 网络
- 6.3.1. 负载均衡 SLB
- 6.3.1.1. 高可用性
- 6.3.1.2. 健康检查
- 6.3.1.3. 抗CC攻击
- 6.3.1.4. 访问控制
- 6.3.1.5. HTTPS
- 6.3.1.6. 日志功能
- 6.3.1.7. RAM和STS支持
- 6.3.2. 专有网络VPC
- 6.3.2.1. 自定义网络
- 6.3.2.2. 访问控制
- 6.3.2.3. 日志和监控
- 6.3.2.4. 租户隔离
- 6.3.2.5. 网络边界控制
- 6.3.2.6. RAM和STS支持
- 6.4. 数据库
- 6.4.1. 云数据库RDS 版
- 6.4.1.1. 租户隔离
- 6.4.1.2. 高可用性
- 6.4.1.3. 访问控制
- 6.4.1.4. 网络隔离
- 6.4.1.5. 数据加密
- 6.4.1.6. SQL洞察
- 6.4.1.7. 备份恢复
- 6.4.1.8. 实例容灾
- 6.4.1.9. 软件升级
- 6.4.1.10. RAM和STS支持
- 6.4.2. 表格存储
- 6.4.2.1. 身份认证
- 6.4.2.2. 高可用性
- 6.4.2.3. 强一致性
- 6.4.2.4. 数据加密
- 6.4.2.5. RAM和STS支持
- 6.5. CDN
- 6.5.1. 内容分发网络 CDN
- 6.5.1.1. 身份认证
- 6.5.1.2. 租户隔离
- 6.5.1.3. URL鉴权
- 6.5.1.4. HTTPS加速
- 6.5.1.5. 防盗链
- 6.5.1.6. HTTPDNS
- 6.5.1.7. RAM和STS支持
- 6.5.1.8. 图片鉴黄
- 6.5.1.9. IP黑白名单
- 6.5.1.10. UA黑白名单
- 6.6. 数据与智能
- 6.6.1. 大数据计算服务
- 6.6.1.1. 身份认证
- 6.6.1.2. 访问授权
- 6.6.1.3. 数据保护机制
- 6.6.1.4. 跨项目空间的资源分享
- 6.6.1.5. 数据隔离
- 6.6.1.6. 数据加密
- 6.6.1.7. 敏感数据保护
- 6.6.1.8. 数据备份和删除
- 6.6.1.9. 日志审计
- 6.6.1.10. IP白名单
- 6.6.2. 分析型数据库MySQL版
- 6.6.2.1. 租户隔离
- 6.6.2.2. 集群白名单
- 6.6.2.3. 高可用性
- 6.6.2.4. 用户与权限
- 6.6.2.5. RAM支持
- 6.6.3. 数加 DataWorks
- 6.6.3.1. 访问控制
- 6.6.3.2. 开发/生产权限隔离
- 6.6.3.3. 权限管理
- 6.6.3.4. 数据加密
- 6.6.3.5. 敏感数据保护
- 6.6.4. 实时计算
- 6.6.4.1. 租户隔离
- 6.6.4.2. RAM支持
- 6.6.4.3. 数据存储账号保护
- 6.6.4.4. 数据加密
- 6.6.4.5. 监控审计
- 6.7. 应用服务
- 6.7.1. 开放搜索服务
- 6.7.1.1. 高可用性
- 6.7.1.2. 数据隔离与备份
- 6.7.1.3. 数据配额
- 6.7.1.4. 身份认证
- 6.7.1.5. 访问控制
- 6.7.1.6. RAM支持
- 6.7.2. 媒体处理
- 6.7.2.1. RAM和STS支持
- 6.7.2.2. 身份认证
- 6.7.2.3. 监控报警
- 6.7.2.4. 视频加密
- 6.7.2.5. 智能审核
- 6.7.2.6. 视频版权保护
- 6.7.3. 消息队列
- 6.7.3.1. 多协议接入
- 6.7.3.2. RAM和STS支持
- 6.7.3.3. 监控告警
- 6.7.4. 性能测试服务
- 6.7.4.1. 安全隔离
- 6.7.4.2. 监控和审计
- 6.7.4.3. RAM和STS支持
- 6.7.5. 企业邮箱
- 6.7.5.1. 认证与权限管理
- 6.7.5.2. 邮件控制
- 6.7.5.3. 传输加密
- 6.7.5.4. 审计与告警
- 6.7.6. 云监控
- 6.7.6.1. 访问控制
- 7. 阿里云安全产品
- 7.1. 云上基础安全
- 7.1.1. DDoS防护
- 7.1.1.1. DDoS基础防护
- 7.1.1.2. DDoS防护包
- 7.1.1.3. DDoS高防
- 7.1.1.4. 游戏盾
- 7.1.2. 云安全中心
- 7.1.2.1. 产品功能
- 7.1.2.2. 技术能力
- 7.1.2.3. 应用场景
- 7.1.3. 云防火墙
- 7.1.3.1. 产品功能
- 7.1.3.2. 技术能力
- 7.1.3.3. 应用场景
- 7.2. 云上数据安全
- 7.2.1. 敏感数据保护
- 7.2.1.1. 产品功能
- 7.2.1.2. 技术能力
- 7.2.1.3. 应用场景
- 7.2.2. 密钥管理服务
- 7.2.2.1. 认证与访问控制
- 7.2.2.2. 传输安全
- 7.2.2.3. 密钥安全
- 7.2.2.4. 合规和安全等级
- 7.2.2.5. 运维安全
- 7.2.3. 加密服务
- 7.2.3.1. 产品功能
- 7.2.3.2. 使用场景
- 7.2.4. 数据库审计
- 7.2.4.1. 产品功能
- 7.2.4.2. 技术能力
- 7.3. 云上应用安全
- 7.3.1. Web应用防火墙
- 7.3.1.1. 功能特点
- 7.3.1.2. 技术能力
- 7.4. 云上业务安全
- 7.4.1. 爬虫风险管理
- 7.4.1.1. 产品功能
- 7.4.1.2. 技术能力
- 7.4.2. 风险识别
- 7.4.2.1. 产品功能
- 7.4.2.2. 技术能力
- 7.4.3. 内容安全
- 7.4.4. 实人认证
- 7.5. 云上账户安全和监控
- 7.5.1. 身份和访问控制 RAM
- 7.5.1.1. 用户管理
- 7.5.1.2. 身份凭证
- 7.5.1.3. AK身份认证机制
- 7.5.1.4. 用户组管理
- 7.5.1.5. 权限和权限策略管理
- 7.5.1.6. RAM角色管理
- 7.5.1.7. SSO管理
- 7.5.1.8. 资源分组管理
- 7.5.1.9. 多账号管理
- 7.5.1.10. STS安全令牌服务
- 7.5.2. 应用身份服务
- 7.5.2.1. 适用场景
- 7.5.2.2. 产品功能
- 7.5.3. 日志服务
- 7.5.3.1. 高可用性
- 7.5.3.2. 只读日志系统
- 7.5.3.3. 离线归档
- 7.5.3.4. 身份认证
- 7.5.3.5. 功能特性
- 7.5.3.6. 日志投递到SIEM
- 7.5.3.7. RAM和STS支持
- 7.5.4. 操作审计
- 7.5.4.1. 云平台操作事件(Inner-ActionTrail)
- 7.5.5. 配置审计
- 7.5.6. 堡垒机
- 7.5.6.1. 产品功能
- 7.5.6.2. 技术能力
- 8. 云上数据安全体系
- 8.1. 数据采集安全
- 8.2. 数据传输安全
- 8.2.1. 传输加密
- 8.2.2. VPN/SAG网关
- 8.2.3. SSL证书服务
- 8.3. 数据处理安全
- 8.3.1. 加密计算
- 8.3.2. 云产品权限管控
- 8.3.2.1. 计算和网络环境隔离
- 8.3.2.2. RAM访问控制
- 8.3.2.3. OSS访问控制
- 8.3.2.4. RDS访问控制
- 8.3.2.5. MaxCompute访问控制
- 8.3.3. 数据脱敏
- 8.4. 数据交换安全
- 8.4.1. 数据泄露检测
- 8.5. 数据存储安全
- 8.5.1. 落盘加密
- 8.5.2. 自选密钥
- 8.5.3. 密钥托管HSM
- 8.6. 数据销毁安全
- 8.6.1. 物理销毁
- 8.6.2. 数据清零
- 8.6.3. 终止服务后清除
- 9. 阿里云安全最佳实践
- 10. 版本历史