数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性,为业务数据提供安全边界。被加密的云盘可以是系统盘和数据盘。
功能介绍
ECS加密采用行业标准的AES-256加密算法,利用密钥管理服务KMS(Key Management Service)加密云盘。在加密解密的过程中,实例的性能几乎没有衰减。启用加密功能的云盘性能会低于未开启加密功能的云盘,并根据上层应用的不同,性能下降的幅度也不同。
说明 从2022年03月31日起,原密钥管理服务(KMS)升级为专属KMS,为用户提供租户侧独享存储和密钥运算的密钥管理服务。如果您是第一次使用密钥管理服务,需要购买专属KMS。更多信息,请参见【升级公告】KMS升级为专属KMS。
密钥
ECS云盘加密功能默认使用服务密钥为用户数据进行加密,也支持使用用户自选密钥为用户的数据进行加密。云盘的加密机制中,每一块云盘会有相对应的用户主密钥CMK(Customer Master Key)和数据密钥DK(Data Key),并通过信封加密机制对用户数据进行加密。在信封加密机制中,CMK受密钥管理服务(Key Management Service,简称KMS)提供的密钥管理基础设施的保护,实施强物理安全和逻辑安全保护。云产品必须通过恰当的用户授权,才可以使用对应的CMK来产生DK,用于业务数据的加密,也只有通过用户授权,才可以使用对应的CMK来解密DK的密文,用于业务数据的解密。DK的明文仅会在您使用的ECS实例所在的宿主机的内存中使用,不会以明文形式存储在永久介质上。
加密云盘时,您可以选择的CMK包括以下类型。
| 类型 | 说明 | 来源 | 适用场景 |
|---|---|---|---|
| 服务密钥,下图① | 开通KMS后,当您在一个地域第一次使用加密功能时,KMS自动在该地域创建一个专为ECS使用的CMK,密钥别名为acs/ecs,服务密钥不支持删除和禁用操作。 | KMS提供的默认密钥(Default Service CMK)。 | 方便快捷。更多信息,请参见密钥服务概述。 |
| 普通密钥,下图② | 您自行创建的加密密钥,您对该类型密钥拥有完全的管理权限,包括创建、轮换和禁用密钥、定义访问控制的能力等。 |
|
提高操作灵活性,增加密钥数量。更多信息,请参见密钥服务概述。 |
计费
加密的功能或操作涉及的费用信息见下表所示。涉及计费的项目需要您确保支付方式余额充足,否则会出现操作失败。
| 功能或操作 | 是否计费 |
|---|---|
| 加密系统盘和数据盘 | 否 |
| 使用KMS提供的服务密钥 | 否 |
| 您在KMS上自行创建的CMK(包括BYOK) | 是。更多信息,请参见KMS计费说明。 |
| 对云盘的读写操作,包括挂载分区(mount)、卸载分区(umount)、创建分区、格式化文件系统等 | 否 |
对云盘的管理操作,包括以下类型。
说明 无论是通过ECS管理控制台还是通过API,管理操作均会以API的形式记入到您在该地域的KMS服务API调用次数。
|
是。更多信息,请参见KMS计费说明。 |
| 专属KMS | 是。更多信息,请参见专属KMS计费说明。 |
使用限制
| 限制项 | 说明 |
|---|---|
| 支持加密的云盘类型
说明 不支持加密本地盘。
|
系统盘:
|
| 数据盘:ESSD AutoPL云盘、ESSD云盘、SSD云盘和高效云盘。更多信息,请参见加密数据盘。 | |
| 加密云盘限制项 |
|
| 加密镜像限制项 |
|