加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求,可以参考本文加密数据盘。
背景信息
您可以通过以下方式加密数据盘:
- 已加密的自定义镜像中包含的数据盘,创建ECS实例时对应的数据盘会加密。具体操作,请参见加密系统盘。
- 创建ECS实例,添加数据盘时,选中加密并选择密钥。具体操作,请参见创建实例时加密数据盘。
- 单独创建云盘时,选中加密并选择密钥。具体操作,请参见创建云盘时加密数据盘。
加密数据盘时需要使用密钥管理服务中的密钥。更多信息,请参见加密概述。
创建实例时加密数据盘
- 登录ECS管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏左上角处,选择地域。
- 在实例页面,单击创建实例。
- 在基础配置页面,找到存储配置,按以下步骤操作。
说明 本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见
使用向导创建实例。
- 单击增加一块数据盘。
- 选择数据盘的云盘类型,并配置容量等信息。
- 选中加密,并在下拉列表中选择一个密钥。
加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为
acs:ecs:disk-encryption,标签值固定为
true。您可以登录
密钥管理服务控制台,并单击密钥ID,查看密钥标签。
创建云盘时加密数据盘
- 登录ECS管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏左上角处,选择地域。
- 在云盘页面,单击创建云盘。
- 配置云盘类型和容量等具体信息。
说明 本步骤仅描述创建云盘时如何配置加密选项,具体配置说明,请参见
创建云盘。
- 在云盘配置处,选中加密,在下拉列表中选择一个密钥。
加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为
acs:ecs:disk-encryption,标签值固定为
true。您可以登录
密钥管理服务控制台,并单击密钥ID,查看密钥标签。
转换加密状态
已经创建的数据盘,不能直接转换云盘的加密状态。如果您需要转换数据的加密状态,请参见下表中的操作。
| 转换状态 |
方法 |
Windows Server系统 |
Linux系统 |
| 非加密状态变更为加密状态 |
- 登录到ECS实例操作系统内。具体操作,请参见连接方式概述。
- 将数据从非加密云盘手动复制到新建的加密云盘。
|
在CMD中使用robocopy命令
|
使用Shell命令rsync |
| 加密状态变更为非加密状态 |
- 登录到ECS实例操作系统内。具体操作,请参见连接方式概述。
- 将数据从加密云盘手动复制到新建的非加密云盘。
|
