IMS服务端加密

约束条件

• 用户已启用数据加密服务。
• 加密镜像不能共享给其他用户。
• 加密镜像不能发布到应用超市。
• 如果云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。
• 不能修改加密镜像使用的密钥。
• 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。
• 对于加密镜像创建的弹性云服务器，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。

使用KMS加密私有镜像（控制台）

创建加密镜像分为通过加密弹性云服务器创建加密镜像和通过外部镜像文件创建加密镜像。

• 通过加密弹性云服务器创建加密镜像

  用户选择弹性云服务器创建私有镜像时，如果该云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。镜像加密使用的密钥为创建该系统盘时使用的密钥。

• 通过外部镜像文件创建加密镜像

  用户使用OBS桶中已上传的外部镜像文件创建私有镜像过程中，可以在注册镜像时勾选KMS加密完成镜像加密。

  用户上传镜像文件时，可以选择“KMS加密”，使用KMS提供的密钥来加密上传的文件，如图1所示。

  1. 在IMS管理控制台，单击“创建私有镜像”。
  2. “创建方式”选择“系统盘镜像”。
  3. “选择镜像源”为“镜像文件”。
  4. 勾选“KMS加密”。
     图1 IMS服务端加密
     
     密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下：

     • 默认主密钥：KMS为使用IMS（Image Management Service，IMS）的用户创建一个默认主密钥“ims/default”。
     • 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。

  5. 根据界面提示，配置其他信息。详细参数说明请参见注册镜像。

使用KMS加密私有镜像（API）

用户也可以通过调用IMS API接口创建加密镜像，详情请参考《镜像服务API参考》。