您可以在创建ECS实例或者复制自定义镜像时选择对系统盘加密,加密后,系统盘上的数据都会被加密,以保障存储在系统盘上的数据安全。
加密方式
您可以通过以下方式加密系统盘:
方式一:创建实例时加密系统盘
方式二:通过复制镜像加密系统盘
复制自定义镜像时选择加密复制并选择密钥来加密自定义镜像,然后再使用加密的自定义镜像去创建ECS实例,ECS实例的系统盘以及数据盘(如果有)会被自动加密。通过复制自定义镜像加密系统盘的流程如下图所示。
通过复制自定义镜像加密系统盘可能涉及如下几种场景,不同场景下ECS实例系统盘最终的加密状态也不同。具体说明如下表所示:
复制自定义镜像是否加密
使用自定义镜像创建实例是否加密系统盘
ECS实例系统盘的加密状态及密钥
否
否
未加密
否
是(使用密钥A)
更多信息,请参见创建实例时加密系统盘。
加密(密钥A)
是(使用密钥B)
更多信息,请参见通过复制镜像加密系统盘。
否
加密(密钥B)
是(使用密钥B)
更多信息,请参见通过复制镜像加密系统盘。
是(使用密钥A)
更多信息,请参见创建实例时加密系统盘。
加密(密钥A)
前提条件
请确保已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
创建实例时加密系统盘
您可以在创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见自定义购买实例。
使用限制
限制项 | 说明 |
实例规格族 | 不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族。 |
云盘类型 | 仅支持ESSD云盘、ESSD AutoPL云盘和ESSD Entry云盘。 |
操作步骤
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例页面,单击创建实例。
在存储区域,选择加密系统盘。
系统盘选择ESSD云盘类型,并配置容量等信息。
选中加密,并在下拉列表中选择一个密钥。
选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。
说明首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole
角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选用户主密钥。
通过复制镜像加密系统盘
您可以在同地域或者跨地域复制自定义镜像时选择加密镜像,使用加密后的自定义镜像创建ECS实例时,ECS实例的系统盘以及数据盘(如果有)会自动加密。您可以在控制台复制镜像时或在调用API接口CopyImage时加密自定义镜像。
控制台方式
本步骤介绍在已有的自定义镜像上加密系统盘。如果没有自定义镜像,请先创建自定义镜像。具体操作,请参见使用快照创建自定义镜像或使用实例创建自定义镜像。
登录ECS管理控制台。
在左侧导航栏,选择
。在顶部菜单栏左上角处,选择地域。
在镜像页面,选择自定义镜像页签。
选择需要复制的镜像,在操作列中,单击复制镜像。
在复制镜像对话框中,复制镜像类型选择加密复制,并选择目标地域和加密密钥。
说明本步骤仅描述复制镜像时如何配置加密选项,其余配置说明,请参见复制镜像。
选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。
说明首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole
角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问。单击确定,系统开始复制镜像。
API方式
您可以在调用CopyImage接口时加密自定义镜像。
以下示例使用阿里云CLI调用API接口CopyImage,指定一个KMSKeyId来加密系统盘。
aliyun ecs CopyImage --RegionId cn-hongkong \
--ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
--Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
--Tag.N.Key EcsDocumentation
相关文档
您可以使用复制后的加密自定义镜像创建ECS实例,ECS实例的系统盘以及数据盘(如果有)会被自动加密。通过自定义镜像创建ECS实例的具体操作,请参见使用自定义镜像创建实例。
您也可以使用加密后的自定义镜像更换系统盘,更换后的系统盘会自动加密。具体操作,请参见更换操作系统(系统盘)。
- 本页导读 (1)