ECS数据加密的应用

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

数据加密适用于数据安全或法规合规等场景,帮助您加密保护存储在阿里云ECS上的数据,您可以选择对系统盘、数据盘或者镜像进行加密,然后基于加密后的云盘和镜像去创建ECS实例,以保护数据的隐私性和安全性。本文主要为您介绍加密云盘、快照和镜像的一些限制条件和相关操作。

前提条件

请确保已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例

背景信息

ECS云盘加密功能默认使用服务密钥(Service Key)为用户数据进行加密,也支持使用用户主密钥CMK(Customer Master Key)为用户的数据进行加密。云盘的加密机制中,每一块云盘会有相对应的用户主密钥CMK和数据密钥DK(Data Key),并通过信封加密机制对用户数据进行加密。更多信息,请参见加密云盘

注意事项

使用密钥加密时,请仔细阅读以下注意事项:

密钥类型

注意事项

服务密钥

每个地域每个用户的服务密钥(Service Key)唯一,不支持删除和禁用操作。

自定义密钥BYOK

  • ECS控制台上首次选择其他用户主密钥加密云盘时,需要单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。

  • KMS控制台创建密钥时,需选择Aliyun_AES_256Aliyun_SM4密钥类型,ECS创建加密云盘时暂不支持其他密钥类型。

  • 用户删除、禁用BYOK密钥前,需要确认卸载或更换该密钥关联的云盘,避免出现云盘数据丢失、实例启动失败等问题。查询密钥关联的云盘信息,请参见API DescribeDisks

    BYOK密钥一旦删除将无法恢复,使用该密钥加密的内容及产生的数据密钥也将无法解密。在密钥失效前,推荐您使用禁用密钥功能,或者自行排查该密钥是否存在关联使用的云资源,避免密钥丢失后数据不可恢复。

    警告

    因用户手动创建的BYOK密钥可被用户进行删除、禁用等操作导致密钥失效,当密钥失效后会存在已创建的加密云盘、加密镜像、加密快照数据不可恢复的风险。

    声明:由用户自行操作密钥失效后导致关联的云盘资源相关数据丢失后不可恢复的风险,由用户自行承担责任。

加密系统盘

系统盘是装有操作系统的云盘,只能随实例创建,生命周期与挂载的ECS实例相同,您可以在创建实例时加密系统盘。

限制条件

限制项

说明

实例规格族

不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4ecs.ebmhfg5。更多信息,请参见实例规格族

云盘类型

仅支持加密ESSD系列云盘(ESSD PL0/PL1/PL2/PL3、ESSD Entry、ESSD AutoPLESSD同城冗余)。

操作步骤

加密系统盘的具体操作,请参见如何加密云盘

加密数据盘

加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。您可以在创建实例时加密数据盘,也可以在创建云盘时加密数据盘。

限制条件

加密数据盘时,如果选择用快照创建磁盘,必须满足以下条件才能选择加密选项为数据盘加密。

限制项

说明

实例规格族

不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4ecs.ebmhfg5。更多信息,请参见实例规格族

云盘类型

仅支持加密ESSD系列云盘(ESSD PL0/PL1/PL2/PL3、ESSD Entry、ESSD AutoPLESSD同城冗余)。

操作步骤

加密数据盘的具体操作,请参见如何加密云盘

加密快照

如果云盘是加密云盘,使用该云盘创建的快照也是加密快照。

操作步骤

创建快照的具体操作,请参见创建快照

复制加密镜像

复制镜像可用于跨地域部署ECS实例、同地域或者跨地域变更加密镜像与非加密镜像的加密状态。同地域或者跨地域加密复制镜像后,您可以使用复制后的加密镜像快速创建并运行同一镜像环境的ECS实例。

限制条件

限制项

说明

地域限制

如果您是阿里云账号,可以进行多地域复制,复制地域最多支持选择5个。

镜像类型

加密镜像或者非加密镜像。

操作步骤

复制加密镜像的具体操作,请参见复制自定义镜像

共享加密镜像

共享镜像可用于跨账号部署ECS实例。如果ECS实例挂载的云盘开启了加密功能,则通过该ECS实例所创建的自定义镜像为加密镜像,此时您可以将加密后的自定义镜像共享给其他阿里云账号使用。该账号可以使用您共享的加密自定义镜像,快速创建并运行同一镜像环境的ECS实例。

限制条件

限制项

说明

地域限制

  • 仅支持同地域跨账号共享,不支持跨地域共享镜像。

    如需跨地域共享镜像,请先复制镜像到目标地域后再共享。具体操作,请参见复制自定义镜像

  • 当您使用加密自定义镜像时,当前仅支持在华北2(北京)、华东2(上海)、中国(香港)、新加坡和印度尼西亚(雅加达),进行同地域下的跨账号共享操作。

使用限制

  • 您只能共享自己的自定义镜像,其他用户共享给您的镜像无法再次共享。

  • 每个自定义镜像支持共享的用户数量有限制,您可以在配额中心找到每个自定义镜像能够共享用户数限额配额项查看和调整配额。具体操作,请参见ECS配额管理

  • 不支持在中国站和国际站账号之间互相共享镜像。

  • ECS不支持将自定义镜像共享给轻量应用服务器使用。轻量应用服务器创建的自定义镜像支持共享给ECS使用。更多信息,请参见共享镜像到ECS

  • 共享中的镜像不能直接删除。您需要先取消共享镜像,才能删除。

操作步骤

共享加密自定义镜像的具体操作,请参见共享自定义镜像