全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多 云市场 l> 5 l> com?content=school">新 l> 5 l>
  • HTTPDNS
  • 5
  • 云市场
  • 9 小duc
  • 云市场
  • 5 9 呼叫
  • 云市场
  • la href="/ "/prod roduct/5064 "fq智 tml">阿里云大学培训 机 习PA
  • DataV数据可视化
  • 5325 识
  • 游戏盾
  • 5325 l> 图 识
  • 游戏盾
  • 操作审计
  • "fq智 图 类uc
  • 云市场
  • 427 l> ET" c
  • 移动用户反馈
  • 6005 l> " k然 言处roduc
  • 云市场
  • 图 ript:;
  • 云市场
  • la href="/ "/prod roduct/50644.html"> tml">阿里云大学培训 277 MaxC157elpuc
  • 云市场
  • 26 型 uc
  • 云市场
  • 2 l> E-MapRe务puc
  • 云市场
  • 302 Works fqa
  • 内容安全
  • 5029l>
  • 函数计算
  • 2819 集成uc
  • 云市场
  • 4 Hubuc
  • 云市场
  • 8 " c
  • 移动用户反馈
  • 3 l> Eliyuicarch-auc
  • 云市场
  • la href="/ "/prod 间件 tml">阿里云大学培训 yN5 布 EDA
  • 移动推送
  • 295 l> 消息队 MQuc
  • 云市场
  • l> 2965 布 型 DRD/uc
  • 云市场
  • l> top 总 CSB
  • 云市场
  • "te 时 ARM/uc
  • 云市场
  • l> 4 e:"局 GT
  • 移动推送
  • 2926 l> PT
  • 移动推送
  • 535 l> 迁 ADAMuc
  • 云市场
  • l> /al0 e s="y-c ACMuc
  • 云市场
  • la href="/ "/prod 频 tml">阿里云大学培训 299 频点播uc
  • 云市场
  • l> 29 9l> 频直播uc
  • 云市场
  • l> 2919 媒/ul处roduc
  • 云市场
  • la href="/ "/prod开发者"fqa">阿里云大学培训 299 l> Eclips >插件
  • 云市场
  • 29 9 CL
  • DataV数据可视化
  • 5590 CodePipeli
  • 云企业网
  • HTTPDNS
  • 52 SDK开发指
  • 云市场
  • la href="/ "/prod tml">阿里云大学培训 298 9l> 金融 uc
  • 云市场
  • l> 6 5
  • 云市场
  • 571 SAP
  • 云市场
  • la href="/ "/prod tml">阿里云大学培训 2 套件
  • 云市场
  • la href="/ "/prod钉钉智 硬件 tml">阿里云大学培训 钉钉智 /28讯
  • 云市场
  • 648 钉钉智 指纹考勤 M1suc
  • 云市场
  • l> 648 钉钉智 MS01Kuc
  • 支持与服务
  • id="J_menu_box">
    ="te EC/uctml">阿里云

    ECS 磁盘加密

    更新时间:2018-01-17 21:57:00

    ra class="ribbon-btn weibo-btn" target="_blank" href="http://service.weibo.com/share/share.php?title=推荐一篇阿里 文档《ECS 磁盘加密》(来自 阿里 文档 - 服务器 ECS - 品简介 - 块存储)&url=http://help.aliyun.com/document_detail/5964 l> title="分享本文档到微博"> ri class="ribbon-btn-icon dbl-icon-base-sina"> ra class="ribbon-btn weixin-btn" href="javascript:void(0);" data-tooltip-content="#tooltip_content"> ri class="ribbon-btn-icon dbl-icon-base-weixin"> ra class="ribbon-btn favorite-btn " title="收藏本文档"> ri class="ribbon-btn-icon dbl-icon-base-wujiaoxing"> ra class="ribbon-btn download-btn " target="_blank" href="http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/ecs-product-introduction-cn-zh-2018-02-13.pdf" title="下载产品简介文档PDF"> ri class="ribbon-btn-icon dbl-icon-base-xiazai">

    么是 ECS 磁盘加密

    当您的业务因为业务需要或者认证需要,要求您对您存储在磁盘上的数据进行加密,阿里 ECS 磁盘加密功能能对 盘和共享块存储(以下简称 ,除非特别指出)加密,为您提供了一种简单的安全的加密手段,能够对您新创建的云盘进行加密处理。您无需构建、维护和保护自己的密钥管理基础设施,您也无需更改任何已有的应用程序和运维流程,无需做额外的加解密操作,磁盘加密功能对 您的业务是无感的。

    加密解密的过程对 云盘的性能几乎没有衰减。关 性能测试方式,请参见 ra href="/document_detail/25382.html">块存储性能。

    在创建加密 盘并将其挂载到 ECS 实例后,将对 下类型的数据进行加密:

    • 盘中的数据
    • 盘和实例间传输的数据(实例操作系统内数据不再加密)
    • 加密 盘创建的所有快照(加密快照)

    加密解密是在 ECS 实例所在的宿主机上进行的,对 ECS 实例传输到云盘的数据进行加密。

    ECS 磁盘加密支持所有在售云盘(普通 盘、高效 盘和 SSD 盘)和共享块存储(高效和SSD)。

    ECS 磁盘加密支持所有在售的实例规格。所有地域都支持云盘的加密。

    ECS 磁盘加密的依赖

    ECS 磁盘加密功能依赖 同一地域的 ra href="/document_detail/2893 >密钥管理服务(Key Management Service,KMS),但是您无需到密钥管理服务控制台做额外的操作,除非您有单独的 KMS 操作需求。

    首次 用 ECS 磁盘加密功能(在 ECS 实例售卖页或者独立 盘售卖页)时,需要根据页面提示授权开通密钥管理服务(KMS),否则将无法购买带有加密磁盘的实例或者加密的独立 盘。

    如果 用 API 或者 CLI 用 ECS 磁盘加密功能,比如 ra href="/document_detail/2549 l> >CreateInstance、ra href="/document_detail/25513.html">CreateDisk,您需要先在阿里 网站上开通密钥管理服务。

    当您在一个地域第一次 用加密盘时,ECS 系统会为您在密钥管理服务(KMS)中的 用地域自动创建一个专为 ECS 用的用户主密钥(CMK,Customer Master Key),这个用户主密钥,您将不能删除,您可以在密钥管理服务控制台上查询到该用户主密钥。

    ECS 磁盘加密的密钥管理

    ECS 磁盘加密功能会为您处理密钥管理。每个新创建 盘都 用一个唯一的 256 密钥(来自 用户主密钥)加密。此云盘的所有快照以及 这些快照创建的后续云盘也关联该密钥。这些密钥受阿里 密钥管理基础设施的保护(由密钥管理服务提供),这将实施强逻辑和物理安全控制以防止未经授权的访问。您的数据和关联的密钥 用行业标准的 AES-256 算法进行加密。

    您无法更改与已经加密了的云盘和快照关联的用户主密钥(CMK)。

    阿里 整体密钥管理基础设施符合(NIST) 800-57 中的建议,并 用了符合 (FIPS) 140-2 标准的密码算法。

    每个阿里 ECS 账号在每个地域都具有一个唯一的用户主密钥(CMK),该密钥与数据分开,存储在一个受严格的物理和逻辑安全控制保护的系统上。每个加密盘及其后续的快照都 用磁盘粒度唯一的加密密钥( 该用户该地域的用户主密钥创建而来),会被该地域的用户主密钥(CMK)加密。磁盘的加密密钥 在您的 ECS 实例所在的宿主机的内存中 用,永远不会以明文形式存储在任何永久介质(如磁盘)上。

    费用

    ECS 不对磁盘加密功能收取额外的收费。

    ECS 为您在每个地域创建的用户主密钥(CMK)属 服务密钥,不收取额外费用,也不占用您在每个地域的主密钥数量限制。

    说明
    您对磁盘的任何读写操作(例如 mount/umount、分区、格式化等)都 会产生费用。 是,凡是涉及磁盘本身的管理操作(见下面列表),无论是通过 ECS 管理控制台还是通过 API,均会以 API 的形式 用到密钥管理服务(KMS),将会记入到您在该地域的 KMS 服务 API 调用次数。请注意,目前 KMS 每个用户每月有 20000 次的免费额度,但一旦高频率大量操作超过免费额度,则会产生费用。详情请参见 ra href="/document_detail/5260 l> >密钥管理服务计费方式。

    对加密磁盘的管理操作包括:

    • 创建加密盘(ra href="/document_detail/2549 l> >CreateInstance 或 ra href="/document_detail/25513.html">CreateDisk)
    • 挂载(ra href="/document_detail/2551 ">AttachDisk)
    • 卸载(ra href="/document_detail/2551 l> >DetachDisk)
    • 创建快照(ra href="/document_detail/2552 l> >CreateSnapshot)
    • 回滚磁盘(ra href="/document_detail/2552 l> >ResetDisk)
    • 重新初始化磁盘(ra href="/document_detail/2551 l> >ReInitDisk)

    请保证您的账户余额充足,否则会出现操作失败,进而可能产生额外的费用。

    如何创建加密的磁盘

    目前,ECS 磁盘加密功能只支持云盘。您可以通过不同渠道创建加密云盘:

    • 通过购买实例页面或购买云盘页面:

      • 勾选加密选项,创建加密的空盘。
      • 选择加密快照来创建云盘。
    • 通过 API 或 CLI:

      • 指定参数 DataDisk.n.Encrypted(ra href="/document_detail/2549 l> >CreateInstance)或者 Encrypted(ra href="/document_detail/25513.html">CreateDisk)为 true
      • 在 ra href="/document_detail/2549 l> >CreateInstance 或 ra href="/document_detail/25513.html">CreateDisk 中,指定加密快照的 SnapshotId

    数据加密状态的转换

    已经存在的非加密盘,不能直接转换成加密盘。同样的,已经存在的加密盘,不能直接转换成非加密盘

    已经存在的非加密盘产生的快照,不能直接转换成加密快照。同样的,已经存在的加密盘产生的快照,不能直接转换成非加密快照。

    所以,如果您需要对现有数据非加密状态转换为加密状态,阿里 推荐用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令将数据 非加密盘上复制到(新创建的)加密盘上。

    如果您需要对现有数据加密状态转换为非加密状态,则用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令将数据 加密盘上复制到(新创建的)非加密盘上。

    限制

    ECS 磁盘加密有如下限制:

    • 只能加密云盘,不能加密本地盘。
    • 只能加密数据盘,不能加密系统盘。
    • 已经存在的非加密盘,不能直接转换成加密盘。
    • 已经加密的云盘,也不能转换为非加密云盘。
    • 已经存在的非加密盘产生的快照,不能直接转换成加密快照。
    • 加密快照不能转换为非加密快照。
    • 不能共享带有加密快照的镜像。
    • 不能跨地域复制带有加密快照的镜像。
    • 不能导出带有加密快照的镜像。
    • 每个地域每个用户无法自己选择用户主密钥 CMK,由系统为您生成。
    • 每个地域 ECS 系统创建的用户主密钥(CMK),用户不能删除,但不收费用。
    • 不支持在云盘加密后更换该云盘用 加解密的关联的用户主密钥。
    rodiv>
    ra class="ribbon-btn weibo-btn" target="_blank" href="http://service.weibo.com/share/share.php?title=推荐一篇阿里 文档《ECS 磁盘加密》(来自 阿里 文档 - 服务器 ECS - 品简介 - 块存储)&url=http://help.aliyun.com/document_detail/5964 l> title="分享本文档到微博"> ri class="ribbon-btn-icon dbl-icon-base-sina"> ra class="ribbon-btn weixin-btn" href="javascript:void(0);" data-tooltip-content="#tooltip_content"> ri class="ribbon-btn-icon dbl-icon-base-weixin"> ra class="ribbon-btn favorite-btn " title="收藏本文档"> ri class="ribbon-btn-icon dbl-icon-base-wujiaoxing"> ra class="ribbon-btn download-btn " target="_blank" href="http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/ecs-product-introduction-cn-zh-2018-02-13.pdf" title="下载产品简介文档PDF"> ri class="ribbon-btn-icon dbl-icon-base-xiazai">
    r!--导读目录 --> r!--
    --> rdiv class="help-category-expand"> rdiv class="help-category-expand-right"> rdiv class="help-category-expand-title">本文导读目录
    rdiv class="help-category-expand-content"> rul> r/ul>
    rdiv class="tooltip_templates" style="display: none;"> rdiv id="tooltip_content" style="width: 130px;height: 130px;"> r/div> rodiv> r!--
    --> r!-- 评论 --> rdiv class="help-detail-feedback-wrapper"> rdiv class="help-detail-raty-area"> rspan class="help-detail-raty-tip"> 上内容是否对您有帮助? rdiv class="help-detail-raty">
    rp style="color: #777F84;">在文档 用中是否遇到 下问题

    rul class="help-detail-problem-list">
  • rdiv> 内容错误 r/div> r/li>
  • rdiv> 更新不及时 r/div> r/li>
  • rdiv> 链接错误 r/div> r/li>
  • rdiv> 缺少代码/图片示例 r/div> r/li>
  • rdiv> 太简单/步骤待完善 r/div> r/li>
  • rdiv> 其他 r/div> r/li>
  • rdiv> 内容错误 r/div> r/li>
  • rdiv> 更新不及时 r/div> r/li>
  • rdiv> 链接错误 r/div> r/li>
  • rdiv> 缺少代码/图片示例 r/div> r/li>
  • rdiv> 太简单/步骤待完善 r/div> r/li>
  • rdiv> 其他 r/div> r/li> roul> rdiv class="textarea-wrapper"> rp style="color: #777F84;">更多建议

    rtextarea placeholder="请详细描述在文档 用中遇到的问题或改进建议"> rbutton class="help-detail-submit dn-btn dn-btn-primary" disabled>提交建议 匿名提交
  • rdiv class="help-detail-tip-area"> rspan>感谢您的打分,是否有意见建议想告诉我们? rbutton class="help-detail-comment dn-btn dn-btn-primary">提交建议
    ri class="dbl-icon-base-right">感谢您的反馈,反馈我们已经收到
    r!-- 反馈 --> rdiv class="help-body-box-detail-feedback-list"> r/div>