自定义镜像基于快照存在,因此能够复用快照的加密功能。您可以通过本文中与自定义镜像相关的加密过程,变更云盘和快照的加密状态或者更换密钥。
与自定义镜像相关的加密过程分为两类场景:
创建实例场景:创建ECS实例时,您可以选择加密镜像创建加密云盘;也可以选择非加密镜像勾选加密,在创建过程中实现云盘加密。
复制镜像场景:复制镜像时,您可以将非加密镜像复制为加密镜像;也可以将加密镜像复制为加密镜像,更换加密密钥。
加密镜像指关联了加密快照的自定义镜像,即镜像中包含了一个或者多个处于加密状态的快照。
加密行为不可逆,即只支持“非加密到加密”和“加密到加密”,不支持“加密到非加密”。加密原理以及加密密钥的介绍,请参见加密概述。
使用镜像创建包含加密云盘的实例
创建实例时,您可以使用加密镜像创建加密云盘;也可以使用非加密镜像(包含系统盘和数据盘快照,或者仅系统盘快照)勾选加密创建加密云盘。
非加密镜像创建加密云盘(非加密到加密)
使用非加密镜像创建ECS实例,您可以为实例包含的每块云盘分别勾选加密(指定Encrypted为true)并指定加密密钥(指定KMSKeyId的值)创建加密云盘。如果勾选加密但不指定加密密钥(不指定KMSKeyId的值),则会使用服务密钥加密云盘。
加密镜像创建加密云盘(加密到加密)
使用加密镜像创建ECS实例,针对镜像关联的加密快照对应的云盘,默认勾选加密且不可取消(调用API必须指定Encrypted为true)。同时,对于已勾选加密的云盘,您可以指定加密密钥(KMSKeyId)。
使用加密自定义镜像时,对于镜像关联的加密快照对应的云盘,您可以指定加密密钥(指定KMSKeyId的值)。如果不指定加密密钥(不指定KMSKeyId的值),则会使用该加密快照的密钥加密云盘。
使用共享加密镜像时,对于镜像关联的加密快照对应的云盘,您(被共享方)可以指定加密密钥(指定KMSKeyId的值)。如果不指定加密密钥(不指定KMSKeyId的值),则会使用您的服务密钥加密云盘。
使用控制台
在实例购买页创建ECS实例时,为云盘勾选加密并选择加密密钥。
使用API
使用RunInstances - 批量创建实例或者CreateInstance - 创建实例,为云盘加密。
如果使用共享加密镜像创建ECS实例,必须指定Encrypted为true,否则会导致调用失败。
通过复制镜像实现镜像加密
复制镜像时,您可以选择加密复制,实现非加密到加密或者重新加密的过程。加密复制的过程会对镜像关联的所有快照生效。
非加密镜像复制为加密镜像(非加密到加密)
使用非加密镜像(镜像中不包含加密快照),您可以选择加密复制(指定Encrypted为true)并为镜像中的所有快照指定加密密钥(指定KMSKeyId的值)实现加密。如果不指定加密密钥(不指定KMSKeyId的值),则会使用服务密钥加密镜像关联的所有快照。
加密镜像复制为加密镜像(加密到加密)
使用加密镜像(镜像中包含加密快照),您只能选择加密复制(Encrypted为true)并为镜像中的所有快照指定加密密钥(指定KMSKeyId的值)实现重新加密。如果不指定加密密钥(不指定KMSKeyId的值),则非加密快照会使用服务密钥加密,加密快照会继承原密钥加密。
使用控制台
在ECS控制台-镜像页面,设置复制镜像类型为加密复制,并设置复制镜像的目标地域和加密密钥,详情请参见加密复制自定义镜像。
使用API
使用CopyImage - 复制一个地域下的自定义镜像到其他地域,通过复制镜像实现镜像加密。
如果使用加密镜像复制时,必须指定Encrypted为true,否则会导致调用失败。
相关文档
支持将加密镜像共享给其他阿里云账号,共享的加密镜像可用于同地域跨账号部署ECS实例,详情请参考共享自定义镜像。
使用加密快照创建的自定义镜像默认为加密状态,且加密密钥为原快照密钥,详情请参见使用快照创建自定义镜像。