加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求,可以参考本文加密数据盘。

背景信息

通过以下方式,您可以为数据盘进行加密:
  • 已加密的自定义镜像中包含的数据盘,创建ECS实例时对应的数据盘会加密。具体操作,请参见加密系统盘
  • 创建ECS实例,添加数据盘时,选中加密并选择密钥。具体操作,请参见创建实例时加密数据盘
  • 单独创建云盘时,选中加密并选择密钥。具体操作,请参见创建云盘时加密数据盘

加密数据盘时需要使用密钥管理服务中的密钥。更多信息,请参见加密概述

创建实例时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,选择实例与镜像 > 实例
  3. 实例列表页面的右上角,单击创建实例
  4. 基础配置处,找到存储配置,按以下步骤操作。
    说明 本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见 使用向导创建实例
    1. 单击增加一块数据盘
    2. 选择数据盘的云盘类型以及容量等配置。
    3. 选中加密,单击下拉选项,选择一个密钥。
      创建实例时加密数据盘
      加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为 acs:ecs:disk-encryption,标签值固定为 true。您可以在 密钥管理服务控制台查看密钥标签。

创建云盘时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,选择存储与快照 > 云盘
  3. 云盘页面右上角,单击创建云盘
  4. 配置云盘类型和容量等具体信息。
    说明 本步骤仅描述创建云盘时如何配置加密选项,具体配置说明,请参见 创建云盘
  5. 云盘配置处,选中加密,单击下拉选项,选择一个密钥。
    创建按量数据盘
    加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为 acs:ecs:disk-encryption,标签值固定为 true。您可以在 密钥管理服务控制台查看密钥标签。

转换加密状态

已经创建的数据盘,不能直接转换云盘的加密状态。如果您需要转换数据的加密状态,参见下表中的操作。
转换状态 方法 Windows Server系统 Linux系统
非加密状态变更为加密状态
  1. 登录到ECS实例操作系统内。具体操作,请参见连接方式概述
  2. 将数据从非加密云盘手动复制到新建的加密云盘。
 在CMD中使用robocopy命令 使用Shell命令rsync
加密状态变更为非加密状态
  1. 登录到ECS实例操作系统内。具体操作,请参见连接方式概述
  2. 将数据从加密云盘手动复制到新建的非加密云盘。