Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Elastic Volume Service/ Guia de usuário/ Gerenciamento de discos EVS criptografados
Atualizado em 2026-04-24 GMT+08:00

Gerenciamento de discos EVS criptografados

O que é a criptografia de disco EVS?

O EVS permite criptografar dados em discos recém-criados conforme necessário. Para mais detalhes, consulte Compra de um disco EVS.

Ele usa o algoritmo criptográfico XTS-AES-256 padrão do setor e chaves para criptografar discos EVS. As chaves usadas para criptografar discos EVS são fornecidas pelo Key Management Service (KMS) do Data Encryption Workshop (DEW), que é seguro e conveniente. Você não precisa estabelecer e manter a infraestrutura de gerenciamento de chaves. O KMS usa o Hardware Security Module (HSM) que está em conformidade com os requisitos do FIPS 140-2 nível 3 para proteger as chaves. Todas as chaves de usuário são protegidas pela chave raiz no HSM para evitar a exposição de chaves.

Princípios de criptografia

O sistema de criptografia usa uma estrutura de chave de duas camadas. A chave da primeira camada é a chave mestra do cliente (CMK) e a chave da segunda camada é a chave de dados (DK). A CMK criptografa e descriptografa a DK para garantir sua segurança em trânsito e em repouso. A DK criptografa e descriptografa os dados de serviço. Os detalhes são os seguintes:

  1. Criptografar a DK

Antes de ser usada para criptografar dados de serviço, uma DK é primeiro criptografada por uma CMK. Somente DKs criptografadas podem ser armazenadas ou transferidas. Se um invasor obtiver acesso a uma DK criptografada e aos dados de serviço, não poderá descriptografar os dados devido à falta da CMK.

  1. Criptografar dados em trânsito e em repouso

Para ler dados criptografados, uma solicitação de descriptografia é enviada primeiro ao KMS para obter a DK em texto simples. O KMS verifica a validade da solicitação e, em seguida, usa a CMK para descriptografar a DK e retorna a DK em texto não criptografado. A descriptografia é feita na memória, portanto, a DK em texto não criptografado não será armazenada persistentemente em nenhum meio de armazenamento. O sistema usa a DK em texto não criptografado na memória para descriptografar os dados de I/O do disco para garantir a segurança dos dados em trânsito e em repouso.

Chaves usadas para criptografia de disco

As chaves fornecidas pelo KMS incluem uma Chave padrão e Chaves personalizadas.
  • Chave padrão: uma chave que é criada automaticamente pelo EVS por meio do KMS e denominada evs/default.

    Ela não pode ser desativada e não é compatível com a exclusão agendada.

  • Chaves personalizadas: chaves criadas pelos usuários. Você pode usar chaves existentes ou criar novas para criptografar discos. Para obter detalhes, consulte "Key Management Service" > "Criação de uma CMK" no Guia de usuário do Data Encryption Workshop.
  • Chaves compartilhadas: você pode usar o DEW para criar concessões para compartilhar chaves com outras contas. Para obter detalhes, consulte Criação de uma concessão.

Quando um disco criptografado é anexado, o EVS acessa o KMS, e o KMS envia a DK para a memória do host para uso. O EVS usa a DK de texto não criptografado para criptografar e descriptografar I/Os de disco. A DK de texto não criptografado é armazenada apenas na memória do host que abriga o ECS e não é armazenado persistentemente na mídia. Se uma chave personalizada for desativada ou excluída no KMS, o disco criptografado usando essa chave personalizada ainda poderá usar a DK de texto não criptografado armazenado na memória do host. Se esse disco for desanexado posteriormente, a DK de texto não criptografado será excluída da memória e os dados não poderão mais ser lidos ou gravados no disco. Antes de reanexar esse disco criptografado, certifique-se de que a chave personalizada esteja ativada.

Se você usar uma chave personalizada para criptografar discos e essa chave personalizada estiver desabilitada ou agendada para exclusão, os dados não poderão ser lidos ou gravados nesses discos ou nunca poderão ser restaurados. Para obter mais informações, consulte Tabela 1.
Tabela 1 Impacto da indisponibilidade da chave personalizada

Status da chave personalizada

Impacto

Como restaurar

Disabled

  • Para um disco criptografado já conectado: as leituras e gravações no disco são normais. Se o disco for desconectado, ele não poderá ser conectado novamente.
  • Para um disco criptografado não conectado: o disco não pode mais ser conectado.

Ative a chave personalizada. Para obter detalhes, consulte Ativação de uma ou mais chaves personalizadas.

Scheduled deletion

Cancele a exclusão agendada para a chave personalizada. Para obter detalhes, consulte Cancelamento da exclusão agendada de uma ou mais chaves personalizadas.

Deleted

Os dados nos discos nunca podem ser restaurados.

Você será cobrado pelas chaves personalizadas que usar. Se as chaves de pagamento por uso forem usadas, certifique-se de que você tenha saldo suficiente na conta. Se chaves anuais/mensais forem usadas, renove seu pedido em tempo hábil. Caso contrário, seus serviços poderão ser interrompidos e os dados poderão nunca ser restaurados se os discos criptografados se tornarem inacessíveis.

Cenários de criptografia

  • Criptografia de disco do sistema

    Os discos do sistema são adquiridos junto com os ECSes não podem ser adquiridos separadamente. Portanto, se um disco do sistema é criptografado ou não depende da imagem que você seleciona ao criar o ECS.

    Tabela 2 Relação entre imagens e criptografia de disco do sistema

    Se o servidor deve ser criado a partir de uma imagem criptografada

    Se o disco do sistema será criptografado

    Descrição

    Sim

    Sim

    Para obter detalhes, consulte Criptografia de imagens.

    Não

    Não

    Se você quiser usar uma imagem não criptografada para criar um disco de sistema criptografado, replique a imagem como uma imagem criptografada e, em seguida, use-a para criar um ECS. Para obter detalhes, consulte Replicação de imagens dentro de uma região.

  • Criptografia de disco de dados

    Discos de dados podem ser comprados juntamente com servidores ou separadamente. Se os discos de dados são criptografados ou não depende de suas fontes de dados. Consulte a tabela a seguir para obter detalhes.

    Tabela 3 Relação entre backups, instantâneos, imagens e criptografia de disco de dados

    Comprar disco em

    Método de compra

    Se o disco de dados será criptografado

    Descrição

    Console do ECS

    Compra junto com um servidor

    Sim/Não

    Quando um disco de dados é comprado junto com um servidor, você pode optar por criptografar o disco ou não. Para obter detalhes, consulte "Primeiros passos" > "Criação de um ECS" > "Etapa 1: configuração de configurações básicas" no Guia de usuário do Elastic Cloud Server.

    Console do EVS

    Nenhuma fonte de dados selecionada

    Sim/Não

    Quando um disco vazio é criado, você pode escolher se deseja criptografar o disco ou não. O atributo de criptografia do disco não pode ser alterado após a criação do disco.

    Criação a partir de um backup

    Sim/Não

    • Quando um disco é criado a partir de um backup, você pode escolher se deseja criptografar o disco ou não. Os atributos de criptografia do disco e do backup não precisam ser os mesmos.
    • Quando você cria um backup para um sistema ou disco de dados, o atributo de criptografia do backup será o mesmo do disco.

    Criando a partir de um snapshot

    (O disco de origem do snapshot é criptografado.)

    Sim

    Um snapshot criado a partir de um disco criptografado também é criptografado.

    Criando a partir de um snapshot

    (O disco de origem do snapshot não é criptografado.)

    Não

    Um snapshot criado a partir de um disco não criptografado não é criptografado.

    Criando a partir de uma imagem

    (O disco de origem da imagem está criptografado.)

    Sim

    -

    Criação a partir de uma imagem

    (O disco de origem da imagem não está criptografado.)

    Não

    -

Restrições

Tabela 4 Restrições na criptografia de disco

Item

Descrição

Tipos de disco que suportam criptografia

Todos os tipos de disco suportam criptografia, mas o atributo de criptografia de um disco existente não pode ser alterado.

Criptografia de disco

  • O atributo de criptografia de um disco não pode ser alterado após a criação do disco, o que significa que:
    • Um disco criptografado não pode ser alterado para um disco não criptografado.
    • Um disco não criptografado não pode ser alterado para um disco criptografado.

Permissões de usuário

Quando um usuário utiliza criptografia, a condição varia dependendo se ele é o primeiro na região ou projeto atual a usar essa função.

  • Se o usuário for o primeiro, ele precisará seguir a solicitação para criar uma agência, que concede permissões EVS KMSAccess ao EVS. Em seguida, o usuário pode criar e obter chaves para criptografar e descriptografar discos.
  • Se o usuário não for o primeiro usuário, ele poderá usar a criptografia diretamente.

Criptografia de imagem

  • Imagens criptografadas não podem ser replicadas entre regiões.
  • Imagens criptografadas não podem ser alteradas para imagens não criptografadas.
  • Imagens criptografadas não podem ser exportadas.

Cobrança

Se a criptografia KMS for usada, o que você usar além da cota gratuita fornecida pelo KMS será cobrado. Para obter detalhes, consulte Cobrança do DEW.

Criação de um disco EVS criptografado

Antes de usar a função de criptografia, os direitos de acesso do KMS precisam ser concedidos ao EVS. Se você tiver as permissões de Administrador de segurança, conceda os direitos de acesso do KMS ao EVS diretamente. Se você não tiver essa permissão, entre em contato com um usuário com as permissões de administrador de segurança para conceder os direitos de acesso do KMS ao EVS e, em seguida, selecione a opção de criptografia para criar um disco criptografado.

Para obter detalhes sobre como criar um disco criptografado, consulte Compra de um disco EVS.

Desanexação de um disco EVS criptografado

Antes de desanexar um disco criptografado por uma chave personalizada, verifique se a chave personalizada está desabilitada ou agendada para exclusão.

  • Se a chave personalizada estiver disponível, o disco poderá ser desanexado e reanexado, e os dados no disco não serão perdidos.
  • Se a chave personalizada não estiver disponível, o disco ainda poderá ser usado, mas não há garantia de quanto tempo ele será utilizável. Se o disco for desanexado, será impossível reanexá-lo posteriormente. Nesse caso, não desanexe o disco sem uma chave personalizada.

O método de restauração varia de acordo com o status da CMK. Para mais detalhes, consulte Chaves usadas para criptografia de disco.

Para obter detalhes sobre como desanexar um disco criptografado, consulte Desanexação de um disco EVS.

Links relacionados

Para saber mais sobre chaves do KMS, consulte Visão geral do KMS.