磁盘加密

什么是磁盘加密

当您由于业务需求从而需要对存储在磁盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的磁盘进行加密。加密磁盘使用的是密钥管理服务（KMS，Key Management Service）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。

磁盘加密的密钥

使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK, Customer Master Key)：

默认主密钥: 由EVS通过KMS自动创建的密钥，系统为您创建默认主密钥名称为“evs/default”。
默认主密钥不支持禁用、计划删除等操作。
用户主密钥: 由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见《密钥管理服务用户指南》的“创建密钥”章节。

使用用户主密钥加密磁盘，若对用户主密钥执行禁用、计划删除等操作，将会导致磁盘不可读写，甚至数据永远无法恢复，具体请参见表1。

表1 用户主密钥不可用的影响
用户主密钥的状态	影响	恢复方法
处于“禁用”状态	若加密磁盘已经挂载至云服务器，则该磁盘将在一段时间后不可读写，甚至数据永远无法恢复。且该磁盘卸载后，将无法重新挂载。若加密磁盘没有挂载至云服务器，该磁盘将无法实现挂载。	启用用户主密钥，具体请参见《密钥管理服务用户指南》的“管理密钥 > 启用密钥”章节。
处于“计划删除”状态		取消删除用户主密钥，具体请参见《密钥管理服务用户指南》的“管理密钥 > 取消删除密钥”章节。
已经被删除		磁盘数据永远无法恢复。

加密磁盘及备份之间的关系

磁盘加密功能支持系统盘、数据盘和磁盘备份，具体说明如下：

系统盘的加密依赖于镜像，具体请参见《镜像服务用户指南》。
可以新创建加密或者不加密的磁盘，无法更改已有磁盘的加密属性。
通过备份创建磁盘时，磁盘的加密属性无需和备份保持一致。

当您需要使用磁盘加密功能时，需要授权磁盘访问密钥管理服务。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有Security Administrator权限的用户给您添加Security Administrator权限，然后再重新操作。更多详细信息，请参见“常见问题 > 哪些用户有权限使用加密特性”。

创建加密磁盘的具体操作请参见步骤二：创建磁盘。

哪些用户有权限使用磁盘加密

安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。
普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分：
- 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。
- 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。

对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

磁盘加密的使用场景

对于一个租户而言，区域以及项目下的用户关系示意图如图1所示。以区域B为例，根据首次使用加密功能的用户是否拥有“Security Administrator”权限分为以下两个场景：

图1 用户关系示意图
点击放大

如果安全管理员首次使用加密功能，则操作流程如下：
1. 授权EVS访问KMS。
  授权成功后，系统会为您创建默认主密钥“evs/default”，此密钥用来加密磁盘。
  
  磁盘的加密依赖KMS，首次使用加密功能时，需要授权EVS访问KMS。当授权成功后，用户组中的所有用户使用加密功能均无需再次进行授权操作。
2. 选择密钥。
  您可以选择使用的密钥如下：
  - 默认主密钥“evs/default”。
  - 用户主密钥，即您在使用磁盘加密功能前已经创建的密钥，或者新创建密钥，创建方法请参见《密钥管理服务用户指南》的“创建密钥”章节。
安全管理员成功使用加密功能后，则区域B中的所有用户都可以直接使用加密功能。
如果是用户E（普通用户）首次使用加密功能，则操作流程如下：
1. 用户E使用加密功能，系统提示权限不足，无法授权EVS访问KMS。
2. 联系安全管理员，让安全管理员授权EVS访问KMS。
授权成功后，用户E以及区域B中的所有用户都可以直接使用加密功能，无需再联系安全管理员进行授权。