Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-09-10 GMT+08:00

Criptografia de disco

O que é criptografia de disco?

Caso os seus serviços necessitem de criptografia para os dados armazenados em discos, o EVS disponibiliza-lhe a função de criptografia. Você pode criptografar novos discos. As chaves usadas por discos criptografados são fornecidas pelo Key Management Service (KMS) do Data Encryption Workshop (DEW), que é seguro e conveniente. Portanto, você não precisa estabelecer e manter a infra-estrutura de gerenciamento de chaves.

Chaves usadas para criptografia de disco

As chaves fornecidas pelo KMS incluem uma chave mestra padrão e chaves mestras do cliente (CMKs).
  • Chave mestra padrão: uma chave que é criada automaticamente pelo EVS por meio do KMS e denominada evs/default.

    A chave mestra padrão não pode ser desabilitada e não suporta exclusão agendada.

  • CMKs: chaves criadas pelos usuários. Você pode usar CMKs existentes ou criar novas CMKs para criptografar discos. Para obter detalhes, consulte Key Management Service > Creating a CMK no Guia de usuário do Data Encryption Workshop.
Se você usar uma chave personalizada para criptografar discos e essa chave personalizada estiver desabilitada ou agendada para exclusão, os dados não poderão ser lidos ou gravados nesses discos ou nunca poderão ser restaurados. Para obter mais informações, consulte Tabela 1.
Tabela 1 Impacto da indisponibilidade da CMK

Status do CMK

Impacto

Como restaurar

Desabilitado

  • Para um disco criptografado já anexado:

    o disco ficará inacessível após um período de tempo, ou os dados do disco nunca poderão ser restaurados. Se o disco for desconectado posteriormente, ele nunca poderá ser anexado novamente.

  • Para um disco criptografado não anexado:

    o disco não pode mais ser conectado.

Habilite o CMK. Para obter detalhes, consulte Habilitação de uma ou mais CMKs.

Exclusão agendada

Cancele a exclusão programada para a CMK. Para obter detalhes, consulte Cancelamento da exclusão agendada de uma ou mais CMKs.

Excluída

Os dados nos discos nunca podem ser restaurados.

Você será cobrado pelas chaves personalizadas que usar. Se as chaves de pagamento por uso forem usadas, certifique-se de que você tenha saldo suficiente na conta. Se chaves anuais/mensais forem usadas, renove seu pedido em tempo hábil. Ou, seus serviços podem ser interrompidos e os dados podem nunca ser restaurados, pois os discos criptografados se tornam inacessíveis.

Relações entre discos criptografados e backups

A função de criptografia pode ser usada para criptografar discos do sistema, discos de dados e backups. Os detalhes são os seguintes:

  • A criptografia de disco do sistema depende das imagens. Para obter detalhes, consulte Guia de usuário do Image Management Service.
  • O atributo de criptografia de um disco existente não pode ser alterado. Você pode criar novos discos e determinar se deseja criptografar os discos ou não.
  • Quando um disco é criado a partir de um backup, o atributo de criptografia do novo disco será consistente com o do disco de origem do backup.

Antes de usar a função de criptografia, o EVS deve ter permissão para acessar DEW. Se você tiver o direito de conceder permissões, conceda os direitos de acesso do KMS diretamente ao EVS. Se você não tiver a permissão, entre em contato com um usuário com os direitos de administrador de segurança para adicionar os direitos de administrador de segurança para você. Em seguida, conceda direitos de acesso do KMS ao EVS. Para obter detalhes, consulte Quem pode usar o recurso de criptografia?

Para saber como criar discos criptografados, consulte Criação de um disco.

Quem pode usar a função de criptografia?

  • O administrador de segurança (com permissões de Security Administrator) pode conceder os direitos de acesso do KMS ao EVS para usar a função de criptografia.
  • Quando um usuário que não tem as permissões de Security Administrator precisa usar a função de criptografia, a condição varia dependendo se o usuário é o primeiro na região atual a usar essa função.
    • Se o usuário for o primeiro na região atual a usar essa função, ele deverá entrar em contato com um usuário que tenha as permissões de administrador de segurança para conceder os direitos de acesso do KMS ao EVS. Em seguida, o usuário pode usar criptografia.
    • Se o usuário não for o primeiro na região atual a usar essa função, o usuário poderá usar a criptografia diretamente.

Do ponto de vista de um locatário, desde que os direitos de acesso do KMS tenham sido concedidos ao EVS em uma região, todos os usuários na mesma região podem usar diretamente a função de criptografia.