加密数据盘
加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求,可以参考本文加密数据盘。
背景信息
您可以通过以下方式加密数据盘:
使用已加密的自定义镜像创建ECS实例时,如果实例中有数据盘,该数据盘会被自动加密。具体操作,请参见使用自定义镜像创建实例。
创建ECS实例,添加数据盘时,选中加密选项并选择密钥。具体操作,请参见创建实例时加密数据盘。
单独创建云盘时,选中加密选项并选择密钥。具体操作,请参见创建云盘时加密数据盘。
加密数据盘时需要使用密钥管理服务中的密钥。更多信息,请参见加密概述。
限制条件
加密数据盘时,如果选择用快照创建磁盘,必须满足以下条件才能选择加密选项为数据盘加密。
限制项 | 说明 |
实例规格族 | 不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族。 |
云盘类型 | 仅支持ESSD云盘类型。 |
操作步骤
创建实例时加密数据盘
本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见自定义购买实例。
在实例页面,单击创建实例。
在存储区域,选择加密数据盘。
在数据盘参数处,单击添加数据盘。
选择数据盘的云盘类型,并配置容量等信息。
选中加密,并在下拉列表中选择一个密钥。
选择密钥时,阿里云默认使用服务密钥(Default Service CMK)进行加密,您也可以选择事先在KMS服务中创建好的自定义密钥(BYOK)为该云盘加密。阿里云建议您使用自定义密钥(BYOK)进行加密。 如何创建自定义密钥(BYOK),请参见创建密钥。
说明首次在下拉列表中选择更多类型密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选自定义密钥(BYOK)。
创建云盘时加密数据盘
本步骤仅描述创建云盘时如何配置加密选项,其余配置说明,请参见创建云盘。
在云盘页面,单击创建云盘。
在存储参数处,选择云盘类型并配置容量等信息。
选中加密,并在下拉列表中选择一个密钥。
选择密钥时,阿里云默认使用服务密钥(Default Service CMK)进行加密,您也可以选择事先在KMS服务中创建好的自定义密钥(BYOK)为该云盘加密。阿里云建议您使用自定义密钥(BYOK)进行加密。 如何创建自定义密钥(BYOK),请参见创建密钥。
说明首次在下拉列表中选择更多类型密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选自定义密钥(BYOK)。
