数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性,为业务数据提供安全边界。被加密的云盘可以是系统盘和数据盘。
功能介绍
ECS加密采用行业标准的AES-256加密算法,利用密钥加密云盘。密钥可以是服务密钥和普通密钥(BYOK)。在加密解密的过程中,实例的性能几乎没有衰减。
密钥
用户主密钥(Customer Master Key,简称CMK)包含了密钥ID、创建时间、描述、轮转计划、生命周期状态等元数据信息,还包含了用来加密和解压数据的密钥材料。使用CMK加密某一云盘后,云盘上的数据加密都使用这个唯一的主密钥加密,云盘的所有快照以及从这些快照创建的云盘也关联该CMK。CMK仅在您的ECS实例所在的宿主机的内存中使用,不会以明文形式存储在任何存储介质上。CMK存储在密钥管理服务(Key Management Service,简称KMS)提供的密钥管理基础设施中,实施强物理安全和逻辑安全保护,禁止未经授权的访问。阿里云的密钥管理基础设施符合(NIST)800-57中的建议,并使用了符合(FIPS)140-2标准的密码算法。
| 类型 | 说明 | 来源 | 适用场景 |
|---|---|---|---|
| 服务密钥,下图① | 开通KMS后,当您在一个地域第一次使用加密功能时,KMS自动在该地域创建一个专为ECS使用的CMK,密钥别名为acs/ecs,服务密钥不支持删除和禁用操作 | KMS提供的默认密钥(Default Service CMK) | 方便快捷,更多详情请参见什么是密钥管理服务 |
| 普通密钥,下图② | 您自行创建的加密密钥,您对该类型密钥拥有完全的管理权限,包括创建、轮换和禁用密钥、定义访问控制的能力等 |
|
提高操作灵活性,增加密钥数量 |
计费
加密的功能或操作涉及的费用信息见下表所示。涉及计费的项目需要您确保支付方式余额充足,否则会出现操作失败。
| 功能或操作 | 是否计费 |
|---|---|
| 加密系统盘和数据盘 | 否 |
| 使用KMS提供的服务密钥 | 否 |
| 您在KMS上自行创建的CMK(包括BYOK) | 是 |
| 对云盘的读写操作,包括挂载分区(mount)、卸载分区(umount)、创建分区、格式化文件系统等 | 否 |
对云盘的管理操作,包括以下类型。
说明 无论是通过ECS管理控制台还是通过API,管理操作均会以API的形式记入到您在该地域的KMS服务API调用次数。
|
详情请参见 《密钥管理服务文档》 费用组成。 |
使用限制
- 支持加密的数据盘包括ESSD云盘、SSD云盘、高效云盘和普通云盘。
- 支持加密的系统盘包括ESSD云盘、SSD云盘和高效云盘。
- 不支持加密本地盘。
- 加密系统盘时,仅支持在复制自定义镜像时完成加密。加密后,不支持以下操作:
- 转换加密镜像为非加密镜像。
- 跨地域复制加密镜像。
- 共享加密镜像。
- 导出加密镜像。
- 非加密云盘不能直接转换成加密云盘。
- 加密云盘不能直接转换为非加密云盘。
在文档使用中是否遇到以下问题
更多建议
匿名提交