云硬盘加密

什么是云硬盘加密

当您由于业务需求从而需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。EVS加密采用行业标准的XTS-AES-256加密算法，利用密钥加密云硬盘。加密云硬盘使用的是密钥管理服务（KMS，Key Management Service）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块（HSM，Hardware Security Module），从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。

已经创建完成的云硬盘不支持更改加密属性。

云硬盘加密的密钥

使用KMS提供的密钥，包括默认主密钥、用户主密钥 (CMK, Customer Master Key)：

默认主密钥: 由EVS通过KMS自动创建的密钥，系统为您创建默认主密钥名称为“evs/default”。
默认主密钥不支持禁用、计划删除等操作。
用户主密钥: 由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见《密钥管理服务用户指南》的“创建密钥”章节。

当加密云硬盘挂载时，EVS访问KMS，KMS会将数据密钥DK（Data Key）发送至宿主机内存中保存，EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用，不会以明文形式持久化存储在介质上。在KMS中设置用户主密钥不可用后，加密云硬盘仍能使用内存中的DK明文，当卸载加密云硬盘后，DK明文会被从内存中删除，无法再读写磁盘。在下次挂载该加密云硬盘时，需要先使该用户主密钥处于可用状态。

使用用户主密钥加密云硬盘，如果对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见表1。

表1 用户主密钥不可用的影响
用户主密钥的状态	影响	恢复方法
处于“禁用”状态	如果加密磁盘已经挂载至弹性云服务器，则该磁盘仍可以正常读写，但如果该磁盘发生卸载操作，则将无法重新挂载。如果加密磁盘没有挂载至弹性云服务器，该磁盘将无法实现挂载。	启用用户主密钥，具体请参见《密钥管理服务用户指南》的“管理密钥 > 启用密钥”章节。
处于“计划删除”状态		取消删除用户主密钥，具体请参见《密钥管理服务用户指南》的“管理密钥 > 取消删除密钥”章节。
已经被删除		磁盘数据永远无法恢复。

云硬盘加密场景

系统盘加密场景

系统盘需要跟随弹性云服务器一起创建，无法单独创建。因此系统盘的加密与创建弹性云服务器时所选择的镜像加密属性相关，主要涉及如下场景：

表2 镜像加密与系统盘加密之间的关系
是否使用加密镜像创建弹性云服务器	创建的系统盘是否加密	说明
是	是	具体请参见“镜像服务用户指南 > 管理私有镜像 > 加密镜像” 。
否	否	-

数据盘加密场景

数据盘可以跟随弹性云服务器一起创建，也可以单独创建。数据盘是否加密主要涉及涉及如下场景：

表3 备份、镜像加密与数据盘加密之间的关系
创建位置	创建方式	创建的数据盘是否加密	说明
在弹性云服务器控制台创建	随弹性云服务器一起创建	是/否	随弹性云服务器一起创建的数据盘，可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一：基础配置”。
在云硬盘控制台单独创建	不选择数据源创建	是/否	不选择数据源创建的空白数据盘，可以选择加密或不加密，创建完成后无法更改其加密属性。
	从备份创建	是/否	从备份创建的数据盘加密属性无需和备份保持一致，可以选择加密或不加密。通过数据盘/系统盘创建备份时，备份的加密属性与源云硬盘保持一致。
	从镜像创建（镜像源云硬盘加密）	是	-
	从镜像创建（镜像源云硬盘未加密）	否	-

哪些用户有权限使用云硬盘加密

使用加密功能时，根据用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分：

是，即该用户是当前区域或者项目内第一个使用加密功能的，在创建加密云硬盘时，需要根据界面提示创建委托，用来给EVS服务授予“KMS Administrator”权限来创建和获取密钥后加密云硬盘。

作为当前区域或者项目内第一个使用加密功能的用户，需要具有“KMS Administrator”权限，才能创建委托授权EVS创建加密云硬盘。如果您没有该权限，请联系账号管理员为您添加该权限。
否，即区域或者项目内的其他用户已经使用过加密功能，该用户可以直接使用加密功能。