Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda> Dedicated Distributed Storage Service> Descripción general del servicio> Encriptación de disco

Actualización más reciente 2023-04-27 GMT+08:00

Ver PDF

Encriptación de disco

¿Qué es la encriptación de disco?

En caso de que sus servicios requieran encriptación para los datos almacenados en discos, EVS le proporciona la función de encriptación. Puede cifrar nuevos discos. Las claves utilizadas por los discos cifrados son proporcionadas por el Key Management Service (KMS) de Data Encryption Workshop (DEW), que es seguro y conveniente. Por lo tanto, no es necesario establecer y mantener la infraestructura de gestión de claves.

Claves utilizadas para el cifrado de disco

Las claves proporcionadas por KMS incluyen una clave maestra predeterminada y una clave maestra de cliente (CMK).

Clave maestra predeterminada: Una clave creada automáticamente por EVS a través de KMS y denominada evs/default.
La clave maestra predeterminada no se puede deshabilitar y no admite la eliminación programada.
CMKs: Claves creadas por los usuarios. Puede utilizar CMK existentes o crear CMK nuevos para cifrar discos. Para obtener más información, consulte Key Management Service > Creating a CMK en la Guía de ususario de Data Encryption Workshop.

Si utiliza un CMK para cifrar discos y este CMK está entonces deshabilitado o programado para su eliminación, los datos no se pueden leer o escribir en estos discos o es posible que nunca se restauren. Consulte Tabla 1 para obtener más información.

**Tabla 1** Impacto de la indisponibilidad de CMK
Estado CMK	Impacto	Cómo restaurar
Disabled	Para un disco cifrado ya conectado: El disco se volverá inaccesible después de un período de tiempo, o los datos del disco nunca se podrán restaurar. Si el disco se desconecta más tarde, nunca se puede conectar de nuevo. Para un disco cifrado no conectado: El disco ya no se puede conectar.	Habilitar el CMK. Para obtener más información, consulte Habilitación de uno o más CMK.
Scheduled deletion		Cancelar la eliminación programada para el CMK. Para obtener más información, consulte Cancelación de la eliminación programada de uno o más CMK.
Deleted		Los datos de los discos nunca se pueden restaurar.

Se le cobrará por los CMK que utilice. Si se utilizan claves básicas, asegúrese de que tiene suficiente saldo de cuenta. Si se utilizan claves profesionales, renueve su pedido a tiempo. O bien, sus servicios pueden ser interrumpidos y sus datos nunca pueden ser restaurados a medida que los discos cifrados se vuelven inaccesibles.

Relaciones entre discos cifrados y copias de respaldo

La función de encriptación se puede utilizar para cifrar discos del sistema, discos de datos y copias de respaldo. Los detalles son los siguientes:

La encriptación del disco del sistema se basa en imágenes. Para obtener más información, consulte la Guía de usuario de Image Management Service .
No se puede cambiar el atributo de encriptación de un disco existente. Puede crear nuevos discos y determinar si desea cifrar los discos o no.
Cuando se crea un disco a partir de una copia de respaldo, el atributo de encriptación del nuevo disco será coherente con el del disco de origen de la copia de respaldo.

Antes de utilizar la función de encriptación, se debe conceder a EVS el permiso para acceder a DEW. Si tiene derecho a conceder permisos, conceda derechos de acceso KMS a EVS directamente. Si no tiene el permiso, póngase en contacto con un usuario con los derechos de administrador de seguridad para agregar los derechos de administrador de seguridad por usted. A continuación, conceda derechos de acceso KMS a EVS. Para más detalles, consulte ¿Quién puede utilizar la función de cifrado?

Para obtener más información, consulte Creación de disco.

¿Quién puede usar la función de cifrado?

El administrador de seguridad (que tiene permisos de administrador de seguridad) puede conceder los derechos de acceso KMS a EVS para utilizar la función de encriptación.
Cuando un usuario que no tiene los permisos de administrador de seguridad necesita usar la función de encriptación, la condición varía dependiendo de si el usuario es el primero en usar esta función en la región actual .
- Si el usuario es el primero en la región actual en utilizar esta función, el usuario debe ponerse en contacto con un usuario que tenga los permisos de administrador de seguridad para conceder los derechos de acceso de KMS a EVS. Entonces, el usuario puede usar encriptación.
- Si el usuario no es el primero en la región actual en usar esta función, el usuario puede usar el encriptación directamente.

Desde la perspectiva de un inquilino, siempre y cuando los derechos de acceso KMS se hayan concedido a EVS en una región, todos los usuarios en la misma región pueden usar directamente la función de encriptación.

Escenarios de aplicación de encriptación de EVS

Figura 1 muestra las relaciones de usuario en regiones y proyectos desde la perspectiva de un inquilino. En el ejemplo siguiente se utiliza la región B para describir los dos escenarios de uso de la función de encriptación.

Figura 1 Relaciones de usuario

Si el administrador de seguridad utiliza la función de encriptación por primera vez, el proceso de operación es el siguiente:
1. Otorgar los derechos de acceso de KMS a EVS.
  Una vez que se han concedido los derechos de acceso de KMS, el sistema crea automáticamente una clave maestra predeterminada y la nombra evs/default. DMK se puede utilizar para cifrar discos EVS.
  
  La encriptación EVS se basa en KMS. Cuando la función de encriptación se utiliza por primera vez, los derechos de acceso KMS deben concederse a EVS. Después de que se hayan concedido los derechos de acceso KMS, todos los usuarios de esta región pueden usar la función de encriptación, sin requerir que se concedan de nuevo los derechos de acceso KMS.
2. Seleccione una clave.
  Puede seleccionar una de las siguientes teclas:
  - DMK: evs/default
  - CMK: CMK existentes o recién creados. Para obtener más información, consulte Creación de un CMK.
Una vez que el administrador de seguridad ha utilizado la función de encriptación, todos los usuarios de la región B pueden utilizar el encriptación directamente.
Si el usuario E (usuario común) utiliza la función de encriptación por primera vez, el proceso de operación es el siguiente:
1. Cuando el usuario E utiliza encriptación, y el sistema solicita un mensaje que indica que los derechos de acceso KMS no se han concedido a EVS.
2. Póngase en contacto con el administrador de seguridad para conceder los derechos de acceso KMS a EVS.
Después de que se hayan concedido los derechos de acceso KMS a EVS, el usuario E así como todos los usuarios en la región B pueden utilizar directamente la función de encriptación y no necesitan ponerse en contacto con el administrador de seguridad para conceder los derechos de acceso KMS a EVS de nuevo.

Tema anterior: Discos compartidos e instrucciones de uso

Tema siguiente: Copia de respaldo de disco

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar