您可以按地域开启块存储账号级默认加密功能。开启后,该地域下所有新建云盘、复制快照、复制镜像均默认强制加密,无需再单独指定加密参数,简化参数设置过程,提升用户体验。同时企业账户或安全人员开启账号级默认加密,可以确保运维以及资源创建人员新建的云盘均默认符合安全合规,实现加密资源统一管理。
使用限制
块存储账号级默认加密功能有如下使用限制:
-
该功能仅对部分用户开放,如需使用,请提交工单申请。
-
RAM用户(子账号)设置块存储账号级默认加密时需阿里云账号(主账号)赋予其系统权限AliyunECSFullAccess,具体的授权操作请参见为RAM用户授权。
-
开启块存储账号级默认加密前,需先开通KMS服务。具体操作,请参见购买和启用KMS实例。
-
开启块存储账号级默认加密后:
-
仅对新购云盘生效,对存量云盘没有影响。
-
不支持创建非加密云盘、快照普通复制、镜像普通复制。
-
不支持从非加密快照、非加密镜像创建加密的SSD云盘、高效云盘或普通云盘。
-
设置块存储账号级默认加密
开启块存储账号级默认加密
块存储账号级默认加密功能需要按地域进行设置。当某个地域开启块存储账号级默认加密后,在该地域下新建云盘、复制快照、复制镜像均默认强制加密。
控制台方式
API方式
通过调用API接口EnableDiskEncryptionByDefault开启块存储账号级默认加密。
关闭块存储账号级默认加密
后续您可以根据需要按地域关闭块存储账号级默认加密。关闭块存储账号级默认加密功能后,如果您仍有云盘加密需求,可以在创建云盘过程中手动选择加密。具体操作,请参见创建加密云盘。
控制台方式
-
登录ECS管理控制台。
-
在概览页面右侧的常用功能区域,单击加密设置。
-
在目标地域所在行单击
图标,关闭该地域的默认加密功能。
API方式
通过调用API接口DisableDiskEncryptionByDefault关闭目标地域的默认加密功能。
加密结果
您可以通过以下两种方式对云盘、快照、镜像进行加密:
-
在新建云盘、快照、镜像时指定加密以及加密密钥。
-
开启EBS账号级默认加密后,新建云盘、快照复制、镜像复制时自动使用配置的默认密钥进行加密,如果您同时指定了加密密钥,则优先使用指定的密钥进行加密。
说明当云盘、快照和镜像同时设置了多个密钥时,最终加密密钥以优先级高的值为准。优先级:指定密钥 > 快照密钥(基于快照创建云盘或复制快照)> 配置的默认密钥 > 服务密钥(alias/acs/ecs)。
云盘加密结果
|
是否指定加密 |
云盘来源 |
未开启块存储账号级默认加密 |
开启块存储账号级默认加密 |
||
|
默认值(未指定密钥) |
自定义(指定密钥) |
默认值(未指定密钥) |
自定义(指定密钥) |
||
|
否 (创建云盘未选择加密) |
新(空)盘 |
未加密 |
无此场景 |
配置的默认密钥加密 |
无此场景 |
|
基于非加密快照/镜像 |
未加密 |
配置的默认密钥加密 |
|||
|
基于加密快照/镜像 |
按快照/镜像的密钥加密 |
按快照/镜像的密钥加密 |
|||
|
基于共享的非加密快照/镜像 |
未加密 |
配置的默认密钥加密 |
|||
|
基于共享的加密快照/镜像 (仅BYOK密钥的加密快照支持共享且共享时必须更换密钥) |
服务密钥加密 |
配置的默认密钥加密 |
|||
|
是 (创建云盘选择加密) |
新(空)盘 |
服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
基于非加密快照/镜像 |
服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
|
基于加密快照/镜像 |
按快照的密钥加密 |
指定密钥加密 |
按快照的密钥加密 |
指定密钥加密 |
|
|
基于共享的非加密快照/镜像 |
服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
|
基于共享的加密快照/镜像 (仅BYOK密钥的加密快照支持共享且共享时必须更换密钥) |
服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
快照加密结果
|
是否指定加密 |
快照来源 |
未开启块存储账号级默认加密 |
开启块存储账号级默认加密 |
||
|
默认值(未指定密钥) |
自定义(指定密钥) |
默认值(未指定密钥) |
自定义(指定密钥) |
||
|
不涉及 (创建快照时) |
非加密云盘创建 |
未加密 |
无此场景 |
未加密 |
无此场景 |
|
加密云盘创建 |
按云盘的密钥加密 |
按云盘的密钥加密 |
|||
|
否 (复制快照选择普通复制) |
非加密快照跨地域复制 (普通复制仅支持跨地域复制) |
未加密 |
目标地域配置的默认密钥加密 |
||
|
加密快照跨地域复制 (普通复制仅支持跨地域复制) |
无此场景 (加密快照仅支持加密复制) |
无此场景 (加密快照仅支持加密复制) |
|||
|
共享的非加密快照跨地域复制 |
未加密 |
目标地域配置的默认密钥加密 |
|||
|
共享的加密快照跨地域复制 |
无此场景 (加密快照仅支持加密复制) |
无此场景 (加密快照仅支持加密复制) |
|||
|
是 (复制快照选择加密复制) |
同地域加密/非加密/共享加密/共享非加密快照,加密复制 |
当前地域的服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
跨地域加密/非加密/共享加密/共享非加密快照,加密复制 |
目标地域的服务密钥加密 |
目标地域配置的默认密钥加密 |
|||
镜像加密结果
|
是否指定加密 |
镜像来源 |
未开启块存储账号级默认加密 |
开启块存储账号级默认加密 |
||
|
默认值(未指定密钥) |
自定义(指定密钥) |
默认值(未指定密钥) |
自定义(指定密钥) |
||
|
不涉及 (创建镜像时) |
包含非加密云盘的ECS实例创建 |
未加密 |
无此场景 |
未加密 |
无此场景 |
|
包含加密云盘的ECS实例创建 |
按云盘的密钥加密 |
按云盘的密钥加密 |
|||
|
否 (复制镜像选择普通复制) |
非加密镜像跨地域复制 (普通复制仅支持跨地域复制) |
未加密 |
目标地域配置的默认密钥加密 |
||
|
加密镜像跨地域复制 (普通复制仅支持跨地域复制) |
无此场景 (加密镜像仅支持加密复制) |
无此场景 (加密镜像仅支持加密复制) |
|||
|
共享的非加密镜像跨地域复制 |
未加密 |
目标地域配置的默认密钥加密 |
|||
|
共享的加密镜像跨地域复制 |
无此场景 (加密镜像仅支持加密复制) |
无此场景 (加密快照仅支持加密复制) |
|||
|
是 (复制镜像选择加密复制) |
同地域加密/非加密/共享加密/共享非加密镜像,加密复制 |
当前地域的服务密钥加密 |
指定密钥加密 |
配置的默认密钥加密 |
指定密钥加密 |
|
跨地域加密/非加密/共享加密/共享非加密镜像,加密复制 |
目标地域的服务密钥加密 |
目标地域配置的默认密钥加密 |
|||
相关文档
您可以通过API接口完成以下操作:
-
修改块存储账号级默认加密的密钥:ModifyDiskDefaultKMSKeyId或ResetDiskDefaultKMSKeyId。
-
查询块存储账号级默认加密使用的密钥:DescribeDiskDefaultKMSKeyId。
-
查询块存储账号级默认加密的服务状态:DescribeDiskEncryptionByDefaultStatus。