- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
- 常见问题汇总
- 云硬盘通用问题
- 云硬盘计费问题
-
云硬盘挂载问题
- 为什么登录到云服务器后看不到已挂载的数据盘
- 云硬盘不支持挂载至云服务器怎么办
- 一块云硬盘可以挂载到多台云服务器上吗
- 云硬盘可以挂载至不同可用区的云服务器吗
- 怎样为云服务器增加数据盘(例如D盘或者dev/vdb1)
- 包年/包月云硬盘可以挂载给其他云服务器吗
- 不同类型的磁盘可以挂载在同一个云服务器上吗
- 系统盘和数据盘之间可以随意转换吗
- Linux系统的云硬盘挂载至Windows系统后需如何处理
- 随包周期云服务器购买的云硬盘,可以挂载至其它包周期云服务器吗
- 随云服务器购买的系统盘或数据盘可以换挂载点吗
- 控制台与弹性云服务器内部之间磁盘挂载点的对应关系
- 云硬盘挂载的包年/包月云服务器已到期,如何查看盘内数据
- 云硬盘扩容问题
- 云硬盘卸载问题
- 云硬盘删除问题
- 云硬盘容量问题
- 云硬盘快照问题
- 云硬盘性能问题
- 共享云硬盘问题
- 云硬盘备份问题
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
- API参考(阿布扎比区域)
- 用户指南 (巴黎区域)
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
链接复制成功!
云硬盘加密
什么是云硬盘加密
当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。
已经创建完成的云硬盘不支持更改加密属性。
创建加密云硬盘的具体操作请参见“创建云硬盘”。
云硬盘加密的密钥
当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置用户主密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该用户主密钥处于可用状态。
云硬盘加密场景
- 系统盘加密场景
系统盘需要跟随弹性云服务器一起创建,无法单独创建。因此系统盘的加密与创建弹性云服务器时所选择的镜像加密属性相关,主要涉及如下场景:
表2 镜像加密与系统盘加密之间的关系 是否使用加密镜像创建弹性云服务器
创建的系统盘是否加密
说明
是
是
具体请参见“镜像服务用户指南 > 管理私有镜像 > 加密镜像” 。
否
否
-
- 数据盘加密场景
数据盘可以跟随弹性云服务器一起创建,也可以单独创建。数据盘是否加密主要涉及涉及如下场景:
表3 备份、快照、镜像加密与数据盘加密之间的关系 创建位置
创建方式
创建的数据盘是否加密
说明
在弹性云服务器控制台创建
随弹性云服务器一起创建
是/否
随弹性云服务器一起创建的数据盘,可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。
在云硬盘控制台单独创建
不选择数据源创建
是/否
不选择数据源创建的空白数据盘,可以选择加密或不加密,创建完成后无法更改其加密属性。
从备份创建
是/否
- 从备份创建的数据盘加密属性无需和备份保持一致,可以选择加密或不加密。
- 通过数据盘/系统盘创建备份时,备份的加密属性与源云硬盘保持一致。
从快照创建
(快照源云硬盘加密)
是
通过加密云硬盘创建的快照为加密快照。
从快照创建
(快照源云硬盘未加密)
否
通过未加密云硬盘创建的快照为非加密快照。
从镜像创建
(镜像源云硬盘加密)
是
-
从镜像创建
(镜像源云硬盘未加密)
否
-
哪些用户有权限使用云硬盘加密
使用加密功能时,根据用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:
- 是,即该用户是当前区域或者项目内第一个使用加密功能的,在创建加密云硬盘时,需要根据界面提示创建委托,用来给EVS服务授予“KMS Administrator”权限来创建和获取密钥后加密云硬盘。
说明:
作为当前区域或者项目内第一个使用加密功能的用户,需要具有“KMS Administrator”权限,才能创建委托授权EVS创建加密云硬盘。如果您没有该权限,请联系账号管理员为您添加该权限。
- 否,即区域或者项目内的其他用户已经使用过加密功能,该用户可以直接使用加密功能。