云硬盘 EVS
云硬盘 EVS
- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
- 常见问题汇总
- 云硬盘通用问题
- 云硬盘计费问题
-
云硬盘挂载问题
- 为什么登录到云服务器后看不到已挂载的数据盘
- 云硬盘不支持挂载至云服务器怎么办
- 一块云硬盘可以挂载到多台云服务器上吗
- 云硬盘可以挂载至不同可用区的云服务器吗
- 怎样为云服务器增加数据盘(例如D盘或者dev/vdb1)
- 包年/包月云硬盘可以挂载给其他云服务器吗
- 不同类型的磁盘可以挂载在同一个云服务器上吗
- 系统盘和数据盘之间可以随意转换吗
- Linux系统的云硬盘挂载至Windows系统后需如何处理
- 随包周期云服务器购买的云硬盘,可以挂载至其它包周期云服务器吗
- 随云服务器购买的系统盘或数据盘可以换挂载点吗
- 控制台与弹性云服务器内部之间磁盘挂载点的对应关系
- 云硬盘挂载的包年/包月云服务器已到期,如何查看盘内数据
- 云硬盘扩容问题
- 云硬盘卸载问题
- 云硬盘删除问题
- 云硬盘容量问题
- 云硬盘快照问题
- 云硬盘性能问题
- 共享云硬盘问题
- 云硬盘备份问题
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
- API参考(阿布扎比区域)
- 用户指南 (巴黎区域)
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
链接复制成功!
云硬盘加密
什么是云硬盘加密
当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。加密云硬盘使用的是密钥管理服务(KMS,Key Management Service)提供的密钥,无需您自行构建和维护密钥管理基础设施,安全便捷。
云硬盘加密的密钥
使用KMS提供的密钥,包括默认主密钥和用户主密钥 (CMK, Customer Master Key):
使用用户主密钥加密云硬盘,若对用户主密钥执行禁用、计划删除等操作,将会导致云硬盘不可读写,甚至数据永远无法恢复,具体请参见表1。
加密云硬盘与快照、备份之间的关系
云硬盘加密功能支持系统盘、数据盘、快照、备份,具体说明如下:
- 系统盘的加密与创建云服务器的镜像相关:
- 如果使用加密镜像创建云服务器,那么系统盘默认开启加密功能,加密方式与镜像保持一致。具体请参见“镜像服务用户指南 > 管理私有镜像 > 加密镜像” 。
- 如果使用非加密镜像创建云服务器,那么支持在创建时设置系统盘加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。
- 创建空白云硬盘时,可以选择加密或者不加密,创建完成后无法更改加密属性。
- 通过快照创建云硬盘时,云硬盘加密属性和快照源云硬盘保持一致。
- 通过备份创建云硬盘时,云硬盘的加密属性无需和备份保持一致。
- 通过云硬盘创建快照时,快照的加密属性与源云硬盘保持一致。
哪些用户有权限使用云硬盘加密
- 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。
- 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:
- 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。
- 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。
对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。
如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。
云硬盘加密的使用场景
对于一个租户而言,区域以及项目下的用户关系示意图如图1所示。以区域B为例,根据首次使用加密功能的用户是否拥有“Security Administrator”权限分为以下两个场景:
- 如果安全管理员首次使用加密功能,则操作流程如下:
- 授权EVS访问KMS。
授权成功后,系统会为您创建默认主密钥“evs/default”,此密钥用来加密云硬盘。
说明:
云硬盘的加密依赖KMS,首次使用加密功能时,需要授权EVS访问KMS。当授权成功后,用户组中的所有用户使用加密功能均无需再次进行授权操作。
- 选择密钥。
安全管理员成功使用加密功能后,则区域B中的所有用户都可以直接使用加密功能。
- 授权EVS访问KMS。
- 如果是用户E(普通用户)首次使用加密功能,则操作流程如下:
- 用户E使用加密功能,系统提示权限不足,无法授权EVS访问KMS。
- 联系安全管理员,让安全管理员授权EVS访问KMS。
授权成功后,用户E以及区域B中的所有用户都可以直接使用加密功能,无需再联系安全管理员进行授权。
父主题: 简介