文档

加密系统盘

更新时间:

您可以在创建ECS实例或者复制自定义镜像时选择对系统盘加密,加密后,系统盘上的数据都会被加密,以保障存储在系统盘上的数据安全。

加密方式

您可以通过以下方式加密系统盘:

  • 方式一:创建实例时加密系统盘

  • 方式二:通过复制镜像加密系统盘

    复制自定义镜像时选择加密复制并选择密钥来加密自定义镜像,然后再使用加密的自定义镜像去创建ECS实例,ECS实例的系统盘以及数据盘(如果有)会被自动加密。通过复制自定义镜像加密系统盘的流程如下图所示。加密

    通过复制自定义镜像加密系统盘可能涉及如下几种场景,不同场景下ECS实例系统盘最终的加密状态也不同。具体说明如下表所示:

    复制自定义镜像是否加密

    使用自定义镜像创建实例是否加密系统盘

    ECS实例系统盘的加密状态及密钥

    未加密

    是(使用密钥A)

    更多信息,请参见创建实例时加密系统盘

    加密(密钥A)

    是(使用密钥B)

    更多信息,请参见通过复制镜像加密系统盘

    加密(密钥B)

    是(使用密钥B)

    更多信息,请参见通过复制镜像加密系统盘

    是(使用密钥A)

    更多信息,请参见创建实例时加密系统盘

    加密(密钥A)

前提条件

请确保已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例

创建实例时加密系统盘

您可以在创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见自定义购买实例

使用限制

限制项

说明

实例规格族

不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族

云盘类型

仅支持ESSD云盘、ESSD AutoPL云盘和ESSD Entry云盘。

操作步骤

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

  4. 实例页面,单击创建实例

  5. 存储区域,选择加密系统盘。

    1. 系统盘选择ESSD云盘类型,并配置容量等信息。

    2. 选中加密,并在下拉列表中选择一个密钥。

      image.png

      选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。

      说明
      • 首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问

      • 目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选用户主密钥。

通过复制镜像加密系统盘

您可以在同地域或者跨地域复制自定义镜像时选择加密镜像,使用加密后的自定义镜像创建ECS实例时,ECS实例的系统盘以及数据盘(如果有)会自动加密。您可以在控制台复制镜像时或在调用API接口CopyImage时加密自定义镜像。

控制台方式

本步骤介绍在已有的自定义镜像上加密系统盘。如果没有自定义镜像,请先创建自定义镜像。具体操作,请参见使用快照创建自定义镜像使用实例创建自定义镜像

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 镜像

  3. 在顶部菜单栏左上角处,选择地域。

  4. 镜像页面,选择自定义镜像页签。

  5. 选择需要复制的镜像,在操作列中,单击复制镜像

  6. 复制镜像对话框中,复制镜像类型选择加密复制,并选择目标地域和加密密钥。

    说明

    本步骤仅描述复制镜像时如何配置加密选项,其余配置说明,请参见复制镜像

    复制镜像

    选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。

    说明

    首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问

  7. 单击确定,系统开始复制镜像。

API方式

您可以在调用CopyImage接口时加密自定义镜像。

以下示例使用阿里云CLI调用API接口CopyImage,指定一个KMSKeyId来加密系统盘。

aliyun ecs CopyImage --RegionId cn-hongkong \
--ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
--Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
--Tag.N.Key EcsDocumentation

相关文档

  • 您可以使用复制后的加密自定义镜像创建ECS实例,ECS实例的系统盘以及数据盘(如果有)会被自动加密。通过自定义镜像创建ECS实例的具体操作,请参见使用自定义镜像创建实例

  • 您也可以使用加密后的自定义镜像更换系统盘,更换后的系统盘会自动加密。具体操作,请参见更换操作系统(系统盘)

  • 本页导读 (1)
文档反馈