当您的业务因为业务需要或者认证需要,要求您对您存储在磁盘上的数据进行加密,阿里云 ECS 磁盘加密功能能对云盘和共享块存储(以下简称 云盘,除非特别指出)加密,为您提供了一种简单的安全的加密手段,能够对您新创建的云盘进行加密处理。您无需构建、维护和保护自己的密钥管理基础设施,您也无需更改任何已有的应用程序和运维流程,无需做额外的加解密操作,磁盘加密功能对于您的业务是无感的。
加密解密的过程对于云盘的性能几乎没有衰减。关于性能测试方式,请参见 块存储性能。
在创建加密云盘并将其挂载到 ECS 实例后,将对以下类型的数据进行加密:
加密解密是在 ECS 实例所在的宿主机上进行的,对从 ECS 实例传输到云盘的数据进行加密。
ECS 磁盘加密支持所有在售云盘(普通云盘、高效云盘和 SSD 云盘)和共享块存储(高效和SSD)。
ECS 磁盘加密支持所有在售的实例规格。所有地域都支持云盘的加密。
ECS 磁盘加密功能依赖于同一地域的 密钥管理服务(Key Management Service,KMS),但是您无需到密钥管理服务控制台做额外的操作,除非您有单独的 KMS 操作需求。
首次使用 ECS 磁盘加密功能(在 ECS 实例售卖页或者独立云盘售卖页)时,需要根据页面提示授权开通密钥管理服务(KMS),否则将无法购买带有加密磁盘的实例或者加密的独立云盘。
如果使用 API 或者 CLI 使用 ECS 磁盘加密功能,比如 CreateInstance、CreateDisk,您需要先在阿里云网站上开通密钥管理服务。
当您在一个地域第一次使用加密盘时,ECS 系统会为您在密钥管理服务(KMS)中的使用地域自动创建一个专为 ECS 使用的用户主密钥(CMK,Customer Master Key),这个用户主密钥,您将不能删除,您可以在密钥管理服务控制台上查询到该用户主密钥。
ECS 磁盘加密功能会为您处理密钥管理。每个新创建云盘都使用一个唯一的 256 位密钥(来自于用户主密钥)加密。此云盘的所有快照以及从这些快照创建的后续云盘也关联该密钥。这些密钥受阿里云密钥管理基础设施的保护(由密钥管理服务提供),这将实施强逻辑和物理安全控制以防止未经授权的访问。您的数据和关联的密钥使用行业标准的 AES-256 算法进行加密。
您无法更改与已经加密了的云盘和快照关联的用户主密钥(CMK)。
阿里云整体密钥管理基础设施符合(NIST) 800-57 中的建议,并使用了符合 (FIPS) 140-2 标准的密码算法。
每个阿里云 ECS 账号在每个地域都具有一个唯一的用户主密钥(CMK),该密钥与数据分开,存储在一个受严格的物理和逻辑安全控制保护的系统上。每个加密盘及其后续的快照都使用磁盘粒度唯一的加密密钥(从该用户该地域的用户主密钥创建而来),会被该地域的用户主密钥(CMK)加密。磁盘的加密密钥仅在您的 ECS 实例所在的宿主机的内存中使用,永远不会以明文形式存储在任何永久介质(如磁盘)上。
ECS 不对磁盘加密功能收取额外的收费。
ECS 为您在每个地域创建的用户主密钥(CMK)属于服务密钥,不收取额外费用,也不占用您在每个地域的主密钥数量限制。
说明:
您对磁盘的任何读写操作(例如 mount/umount、分区、格式化等)都不会产生费用。但是,凡是涉及磁盘本身的管理操作(见下面列表),无论是通过 ECS 管理控制台还是通过 API,均会以 API 的形式使用到密钥管理服务(KMS),将会记入到您在该地域的 KMS 服务 API 调用次数。请注意,目前 KMS 每个用户每月有 20000 次的免费额度,但一旦高频率大量操作超过免费额度,则会产生费用。详情请参见 密钥管理服务计费方式。
对加密磁盘的管理操作包括:
请保证您的账户余额充足,否则会出现操作失败,进而可能产生额外的费用。
目前,ECS 磁盘加密功能只支持云盘。您可以通过不同渠道创建加密云盘:
通过购买实例页面或购买云盘页面:
通过 API 或 CLI:
DataDisk.n.Encrypted
(CreateInstance)或者 Encrypted
(CreateDisk)为 true
。SnapshotId
。已经存在的非加密盘,不能直接转换成加密盘。同样的,已经存在的加密盘,不能直接转换成非加密盘。
已经存在的非加密盘产生的快照,不能直接转换成加密快照。同样的,已经存在的加密盘产生的快照,不能直接转换成非加密快照。
所以,如果您需要对现有数据非加密状态转换为加密状态,阿里云推荐用 Linux 下的 rsync
命令或者 Windows 下的 robocopy
命令将数据从非加密盘上复制到(新创建的)加密盘上。
如果您需要对现有数据加密状态转换为非加密状态,则用 Linux 下的 rsync
命令或者 Windows 下的 robocopy
命令将数据从加密盘上复制到(新创建的)非加密盘上。
ECS 磁盘加密有如下限制:
在文档使用中是否遇到以下问题
更多建议
匿名提交