文档

云盘加密概述

更新时间:

云盘加密是指在创建ECS实例(选择系统盘、数据盘)或者单独创建数据盘时为云盘勾选加密选项,创建完成后ECS实例操作系统内的数据会在云盘所在宿主机(ECS实例服务器)被自动加密,无需自建和维护密钥管理基础设施,您就能保护数据的隐私性和自主性,为业务数据提供安全边界。

功能介绍

云盘加密采用行业标准的AES-256加密算法,利用密钥管理服务KMS(Key Management Service)进行加密。使用云盘加密功能,系统会将从ECS实例传输到云盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行,启用加密功能的云盘性能会低于未开启加密功能的云盘,并根据上层应用的不同,性能下降的幅度也不同,但是ECS实例的性能几乎没有衰减。

云盘加密包括:

  • 加密系统盘

    使用加密的系统盘创建ECS实例后,ECS实例操作系统内的数据会被自动加密,并在读取数据时自动解密。

  • 加密数据盘

    创建加密的数据盘并将其挂载到ECS实例后,以下数据会被自动加密,并在读取数据时自动解密。

    • 加密云盘中的静态数据。

    • 加密云盘和实例间传输的数据(不包括操作系统内的数据)。

    • 加密云盘从实例传递到后端存储集群的数据。

    • 从加密云盘创建的所有快照,并且该快照的加密密钥与云盘的加密密钥保持相同。

    • 从加密快照创建的所有云盘。

加密密钥

ECS云盘加密功能默认使用服务密钥(Service Key)为用户数据进行加密,也支持使用用户主密钥CMK(Customer Master Key)为用户的数据进行加密。云盘的加密机制中,每一块云盘会有相对应的用户主密钥CMK和数据密钥DK(Data Key),并通过信封加密机制对用户数据进行加密。在信封加密机制中,CMK受密钥管理服务KMS提供的密钥管理基础设施的保护,实施强物理安全和逻辑安全保护。云产品必须通过恰当的用户授权,才可以使用对应的CMK来产生DK,用于业务数据的加密,也只有通过用户授权,才可以使用对应的CMK来解密DK的密文,用于业务数据的解密。DK的明文仅会在您使用的ECS实例所在的宿主机的内存中使用,不会以明文形式存储在永久介质上。

更多信息,请参见密钥服务概述

加密云盘时,您可以选择的密钥包括以下类型。

类型

说明

来源

适用场景

默认密钥,下图①

开通KMS后,当您在一个地域第一次使用加密功能时,KMS自动在该地域创建一个专为ECS使用的CMK,密钥别名为acs/ecs,默认密钥不支持删除和禁用操作。

KMS提供的默认密钥。默认密钥包含服务密钥、主密钥,服务密钥由云产品创建及管理生命周期,主密钥由您创建及管理生命周期。

方便快捷。更多信息,请参见密钥服务概述

用户主密钥,下图②

您自行创建的加密密钥,您对该类型的密钥拥有完全的管理权限,包括创建、轮换和禁用密钥、定义访问控制的能力等。

提高操作灵活性,增加密钥数量。更多信息,请参见密钥服务概述

image.png

计费说明

云盘加密利用密钥管理服务KMS进行加密。KMS为您提供免费的默认密钥,默认密钥无需购买KMS实例可直接使用。如果您需要扩展主密钥、使用凭据管家能力或为自建应用构建应用层密码技术方案,您需要付费购买软件密钥管理实例或硬件密钥管理实例。关于如何购买KMS实例,请参见购买和启用KMS实例。关于使用KMS更多的计费信息,请参见产品计费

说明

如果您使用的是旧版KMS,使用KMS加密云盘产生的费用包含密钥托管费用和API调用费用。更多信息,请参见KMS计费说明

使用限制

加密系统盘和数据盘具体的使用限制请参见加密系统盘加密数据盘

说明

不支持加密本地盘。

  • 本页导读 (1)
文档反馈