EVS服务端加密
EVS服务端加密是确保数据安全性的磁盘加密功能,KMS可以对新创建的云硬盘进行加密,为数据提供强大的安全防护。
应用场景
用户创建云硬盘(EVS,Elastic Volume Service)时,若因业务需求需要对存储在云硬盘的数据进行加密,可以使用KMS提供的密钥来加密磁盘上的数据,无需用户自行构建和维护密钥管理基础设施,安全便捷。
使用KMS提供的密钥,包括默认密钥、自定义密钥 (CK, Custom Keys)、共享密钥:
- 默认密钥:由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。
默认密钥不支持禁用、计划删除等操作。
- 自定义密钥:由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《数据加密服务用户指南》的“密钥管理 > 创建密钥”章节。
自定义密钥为付费使用,如果为按需计费的密钥,请及时充值确保账户余额充足,如果为包年/包月的密钥,请及时续费,以避免加密云硬盘不可读写导致业务中断,甚至数据永远无法恢复。
- 共享密钥:通过DEW服务创建KMS资源共享,将拥有的密钥共享给其他账号使用,具体请参见《数据加密服务用户指南》的“权限管理 > 共享 > 共享KMS”章节。
当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该密钥处于可用状态。
使用自定义密钥加密云硬盘,如果对自定义密钥执行禁用、计划删除等操作,将会导致云硬盘不可读写,甚至数据永远无法恢复,具体请参见表1。
资源与成本规划
用户权限说明
- 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。
- 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:
- 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。
- 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。
对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。
如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。
使用KMS加密云硬盘(控制台)
- 登录EVS服务控制台。
- 单击页面右上角“购买磁盘”,进入“购买磁盘”页面。
- 配置“加密”参数。
- 展开“更多”,出现“加密”勾选框。
图1 展开更多
- 创建委托。
勾选“加密”,如果当前未授权EVS访问KMS,则会弹出“创建委托”对话框,单击“是”,授权EVS访问KMS,当授权成功后,EVS可以获取KMS密钥用来加解密云硬盘。
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权,然后再重新操作。
- 勾选“加密”,出现“加密设置”页面。
图2 “加密设置”页面。
- 在KMS加密行选择密钥输入方式。
- 从KMS密钥中选择
- 单击密钥名称所在行的
,选择用于数据加密的密钥名称。
密钥名称是密钥的标识,您可以选择使用的密钥如下:- 默认密钥:成功授权EVS访问KMS,系统会创建默认密钥“evs/default”。
- 自定义密钥:即您已有的密钥或者新创建密钥,具体请参见创建密钥。
- 用户可单击密钥名称所在行的“查看密钥列表”查看密钥。
- 单击“确定”,完成加密配置。
- 单击密钥名称所在行的
- 输入KMS密钥ID
图3 输入KMS密钥ID页面
- 在输入密钥行输入用于数据加密的密钥ID。
- 单击“确定”,完成加密配置。
- 从KMS密钥中选择
- 展开“更多”,出现“加密”勾选框。
- 完成其他参数配置后,单击“立即购买”,完成EVS服务端加密配置。
使用KMS加密云硬盘(API)
用户也可以通过调用EVS API接口购买加密磁盘,详情请参考《云硬盘API参考》。
