在复制镜像时,您可以选择加密自定义镜像,使用该自定义镜像创建的系统盘以及数据盘(如果有)会被自动加密,并且系统盘和数据盘的加密密钥与该镜像使用的密钥相同。加密密钥可以是系统自建的密钥(CMK),也可以是您导入的密钥(BYOK)。

背景信息

加密系统盘只能通过复制镜像完成,并且镜像类型必须是自定义镜像。更多详情,请参见加密概述

在控制台复制镜像时加密系统盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 镜像
  3. 在顶部状态栏左上角处,选择地域。
  4. 镜像列表处,选择自定义镜像页签。
  5. 选择需要复制的镜像,在操作列中,单击复制镜像
    说明 如果自定义镜像大于500 GiB,单击复制镜像时,请根据系统引导提交工单。
  6. 复制镜像弹窗中,勾选加密,在下拉菜单中选择一个密钥。
    勾选云盘加密时,阿里云默认使用托管的服务密钥(Default CMK)进行加密,您也可以将事先在KMS服务中创建好的CMK密钥(BYOK)指定为该云盘的加密密钥。阿里云建议您使用自定义密钥(BYOK)进行加密。
    说明 首次选择更多类型密钥时,单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。本步骤仅描述复制镜像时如何配置加密选项,其余配置详情,请参见复制镜像
    复制镜像-控制台对话框
  7. 单击确定
    加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以在KMS管理控制台查看密钥标签。

调用CopyImage时加密系统盘

以下示例使用阿里云CLI调用API CopyImage,指定一个KMSKeyId来加密系统盘。

aliyun ecs CopyImage --RegionId cn-hongkong --ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen --Encrypted true --KmsKeyId e522b26d-abf6-4e0d-b5da-04b7******3c --Tag.N.Key EcsDocumentation

转换加密状态

转换系统盘加密状态与是否选择或者更换CMK有关,如下所示:
  • 复制未加密的镜像时,未选择CMK,则使用目标镜像创建的系统盘的加密状态为未加密。非加密的自定义镜像复制为非加密的自定义镜像
  • 复制未加密的镜像时,选择了CMK,则目标镜像被加密,您需要使用选择的CMK访问使用目标镜像创建的ECS实例。非加密的自定义镜像复制为加密的自定义镜像
  • 复制已加密的镜像时,未选择CMK,则目标镜像被加密,但您只需使用原有密钥访问使用目标镜像创建的ECS实例。加密的自定义镜像复制到加密的自定义镜像(不更换密钥)
  • 复制已加密的镜像时,选择了新的CMK,则目标镜像被加密,您必须使用新密钥访问使用目标镜像创建的ECS实例。加密的自定义镜像复制到加密的自定义镜像(更换密钥)

后续步骤

  • 当镜像的状态变为可用时,您可以使用复制的镜像创建实例或更换系统盘。具体操作,请参见创建实例更换系统盘(非公共镜像)
  • 您也可以在目标地域中查看从源地域复制过来的快照信息。