您可以按地域开启块存储账号级默认加密功能。开启后,该地域下所有新建云盘、复制快照、复制镜像均默认强制加密,无需再单独指定加密参数,简化参数设置过程,提升用户体验。同时企业账户或安全人员开启账号级默认加密,可以确保运维以及资源创建人员新建的云盘均默认符合安全合规,实现加密资源统一管理。
使用限制
块存储账号级默认加密功能有如下使用限制:
该功能仅对部分用户开放,如需使用,请提交工单申请。
RAM用户(子账号)设置块存储账号级默认加密时需阿里云账号(主账号)赋予其系统权限AliyunECSFullAccess,具体的授权操作请参见为RAM用户授权。
开启块存储账号级默认加密前,需先开通KMS服务。具体操作,请参见购买和启用KMS实例。
开启块存储账号级默认加密后:
仅对新购云盘生效,对存量云盘没有影响。
不支持创建非加密云盘、快照普通复制、镜像普通复制。
不支持从非加密快照、非加密镜像创建加密的SSD云盘、高效云盘或普通云盘。
设置块存储账号级默认加密
开启块存储账号级默认加密
块存储账号级默认加密功能需要按地域进行设置。当某个地域开启块存储账号级默认加密后,在该地域下新建云盘、复制快照、复制镜像均默认强制加密。
控制台方式
API方式
通过调用API接口EnableDiskEncryptionByDefault开启块存储账号级默认加密。
关闭块存储账号级默认加密
后续您可以根据需要按地域关闭块存储账号级默认加密。关闭块存储账号级默认加密功能后,如果您仍有云盘加密需求,可以在创建云盘过程中手动选择加密。具体操作,请参见如何加密云盘。
控制台方式
登录ECS管理控制台。
在概览页面右侧的常用功能区域,单击加密设置。
在目标地域所在行单击
图标,关闭该地域的默认加密功能。
API方式
通过调用API接口DisableDiskEncryptionByDefault关闭目标地域的默认加密功能。
加密结果
您可以通过以下两种方式对云盘、快照、镜像进行加密:
在新建云盘、快照、镜像时指定加密以及加密密钥。
开启EBS账号级默认加密后,新建云盘、快照复制、镜像复制时自动使用配置的默认密钥进行加密,如果您同时指定了加密密钥,则优先使用指定的密钥进行加密。
说明当云盘、快照和镜像同时设置了多个密钥时,最终加密密钥以优先级高的值为准。优先级:指定密钥 > 快照密钥(基于快照创建云盘或复制快照)> 配置的默认密钥 > 服务密钥(alias/acs/ecs)。
云盘加密结果
是否指定加密 | 云盘来源 | 未开启块存储账号级默认加密 | 开启块存储账号级默认加密 | ||
默认值(未指定密钥) | 自定义(指定密钥) | 默认值(未指定密钥) | 自定义(指定密钥) | ||
否 (创建云盘未选择加密) | 新(空)盘 | 未加密 | 无此场景 | 配置的默认密钥加密 | 无此场景 |
基于非加密快照/镜像 | 未加密 | 配置的默认密钥加密 | |||
基于加密快照/镜像 | 按快照/镜像的密钥加密 | 按快照/镜像的密钥加密 | |||
基于共享的非加密快照/镜像 | 未加密 | 配置的默认密钥加密 | |||
基于共享的加密快照/镜像 (仅BYOK密钥的加密快照支持共享且共享时必须更换密钥) | 服务密钥加密 | 配置的默认密钥加密 | |||
是 (创建云盘选择加密) | 新(空)盘 | 服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 |
基于非加密快照/镜像 | 服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 | |
基于加密快照/镜像 | 按快照的密钥加密 | 指定密钥加密 | 按快照的密钥加密 | 指定密钥加密 | |
基于共享的非加密快照/镜像 | 服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 | |
基于共享的加密快照/镜像 (仅BYOK密钥的加密快照支持共享且共享时必须更换密钥) | 服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 | |
快照加密结果
是否指定加密 | 快照来源 | 未开启块存储账号级默认加密 | 开启块存储账号级默认加密 | ||
默认值(未指定密钥) | 自定义(指定密钥) | 默认值(未指定密钥) | 自定义(指定密钥) | ||
不涉及 (创建快照时) | 非加密云盘创建 | 未加密 | 无此场景 | 未加密 | 无此场景 |
加密云盘创建 | 按云盘的密钥加密 | 按云盘的密钥加密 | |||
否 (复制快照选择普通复制) | 非加密快照跨地域复制 (普通复制仅支持跨地域复制) | 未加密 | 目标地域配置的默认密钥加密 | ||
加密快照跨地域复制 (普通复制仅支持跨地域复制) | 无此场景 (加密快照仅支持加密复制) | 无此场景 (加密快照仅支持加密复制) | |||
共享的非加密快照跨地域复制 | 未加密 | 目标地域配置的默认密钥加密 | |||
共享的加密快照跨地域复制 | 无此场景 (加密快照仅支持加密复制) | 无此场景 (加密快照仅支持加密复制) | |||
是 (复制快照选择加密复制) | 同地域加密/非加密/共享加密/共享非加密快照,加密复制 | 当前地域的服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 |
跨地域加密/非加密/共享加密/共享非加密快照,加密复制 | 目标地域的服务密钥加密 | 目标地域配置的默认密钥加密 | |||
镜像加密结果
是否指定加密 | 镜像来源 | 未开启块存储账号级默认加密 | 开启块存储账号级默认加密 | ||
默认值(未指定密钥) | 自定义(指定密钥) | 默认值(未指定密钥) | 自定义(指定密钥) | ||
不涉及 (创建镜像时) | 包含非加密云盘的ECS实例创建 | 未加密 | 无此场景 | 未加密 | 无此场景 |
包含加密云盘的ECS实例创建 | 按云盘的密钥加密 | 按云盘的密钥加密 | |||
否 (复制镜像选择普通复制) | 非加密镜像跨地域复制 (普通复制仅支持跨地域复制) | 未加密 | 目标地域配置的默认密钥加密 | ||
加密镜像跨地域复制 (普通复制仅支持跨地域复制) | 无此场景 (加密镜像仅支持加密复制) | 无此场景 (加密镜像仅支持加密复制) | |||
共享的非加密镜像跨地域复制 | 未加密 | 目标地域配置的默认密钥加密 | |||
共享的加密镜像跨地域复制 | 无此场景 (加密镜像仅支持加密复制) | 无此场景 (加密快照仅支持加密复制) | |||
是 (复制镜像选择加密复制) | 同地域加密/非加密/共享加密/共享非加密镜像,加密复制 | 当前地域的服务密钥加密 | 指定密钥加密 | 配置的默认密钥加密 | 指定密钥加密 |
跨地域加密/非加密/共享加密/共享非加密镜像,加密复制 | 目标地域的服务密钥加密 | 目标地域配置的默认密钥加密 | |||
相关文档
您可以通过API接口完成以下操作:
修改块存储账号级默认加密的密钥:ModifyDiskDefaultKMSKeyId或ResetDiskDefaultKMSKeyId。
查询块存储账号级默认加密使用的密钥:DescribeDiskDefaultKMSKeyId。
查询块存储账号级默认加密的服务状态:DescribeDiskEncryptionByDefaultStatus。