文档首页/ 云硬盘 EVS/ 用户指南(吉隆坡区域)/ 管理加密云硬盘
更新时间:2025-02-27 GMT+08:00
查看PDF
分享

管理加密云硬盘

什么是云硬盘加密

当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。

已经创建完成的云硬盘不支持更改加密属性。

创建加密云硬盘的具体操作请参见“创建云硬盘”。

云硬盘加密的密钥

使用KMS提供的密钥,包括默认主密钥、用户主密钥 (CMK, Customer Master Key):
  • 默认主密钥: 由EVS通过KMS自动创建的密钥,系统为您创建默认主密钥名称为“evs/default”。

    默认主密钥不支持禁用、计划删除等操作。

  • 用户主密钥: 由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《数据加密服务用户指南》的“密钥管理 > 创建密钥”章节。

当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置用户主密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该用户主密钥处于可用状态。

使用用户主密钥加密云硬盘,如果对用户主密钥执行禁用、计划删除等操作,将会导致云硬盘不可读写,甚至数据永远无法恢复,具体请参见表1
表1 用户主密钥不可用的影响

用户主密钥的状态

影响

恢复方法

处于“禁用”状态
  • 如果加密磁盘已经挂载至云服务器,则该磁盘仍可以正常读写,但如果该磁盘发生卸载操作,则将无法重新挂载。
  • 如果加密磁盘没有挂载至云服务器,该磁盘将无法实现挂载。

启用用户主密钥,具体请参见《数据加密服务用户指南》的“管理密钥 > 启用密钥”章节。

处于“计划删除”状态

取消删除用户主密钥,具体请参见《数据加密服务用户指南》的“管理密钥 > 取消删除密钥”章节。

已经被删除

磁盘数据永远无法恢复。

云硬盘加密场景

  • 系统盘加密场景

    系统盘需要跟随云服务器一起创建,无法单独创建。因此系统盘的加密与创建云服务器时所选择的镜像加密属性相关,主要涉及如下场景:

    表2 镜像加密与系统盘加密之间的关系

    是否使用加密镜像创建云服务器

    创建的系统盘是否加密

    说明

    具体请参见“镜像服务用户指南 > 管理私有镜像 > 加密镜像” 。

    -
  • 数据盘加密场景

    数据盘可以跟随云服务器一起创建,也可以单独创建。数据盘是否加密主要涉及涉及如下场景:

    表3 备份、快照、镜像加密与数据盘加密之间的关系

    创建位置

    创建方式

    创建的数据盘是否加密

    说明

    云服务器控制台创建

    云服务器一起创建

    是/否

    云服务器一起创建的数据盘,可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。

    在云硬盘控制台单独创建

    不选择数据源创建

    是/否

    不选择数据源创建的空白数据盘,可以选择加密或不加密,创建完成后无法更改其加密属性。

    从备份创建

    是/否
    • 从备份创建的数据盘加密属性无需和备份保持一致,可以选择加密或不加密。
    • 通过数据盘/系统盘创建备份时,备份的加密属性与源云硬盘保持一致。

    从快照创建

    (快照源云硬盘加密)

    通过加密云硬盘创建的快照为加密快照。

    从快照创建

    (快照源云硬盘未加密)

    通过未加密云硬盘创建的快照为非加密快照。

    从镜像创建

    (镜像源云硬盘加密)

    -

    从镜像创建

    (镜像源云硬盘未加密)

    -

约束与限制

表4 加密云硬盘相关的限制

限制项

限制说明

支持加密的云硬盘类型

所有云硬盘均支持。

加密云硬盘的限制项

云硬盘的加密属性在其创建后,不支持修改。即:

  • 加密云硬盘不能直接修改为非加密云硬盘。
  • 非加密云硬盘不能直接修改为加密云硬盘。

用户权限限制

使用加密功能时,根据用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:

  • 是,即该用户是当前区域或者项目内第一个使用加密功能的,在创建加密云硬盘时,需要根据界面提示创建委托,用来给EVS服务授予“EVS Administrator”权限来创建和获取密钥后加密云硬盘。
  • 否,即区域或者项目内的其他用户已经使用过加密功能,该用户可以直接使用加密功能。

加密镜像的限制项
  • 加密镜像不支持跨区域复制。
  • 加密镜像不支持转换为非加密镜像。
  • 加密镜像不支持导出。

创建加密云硬盘

当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。

创建加密云硬盘的具体操作请参见创建云硬盘

卸载加密云硬盘

如果是加密云硬盘,并且使用的是用户主密钥,请卸载云硬盘前确认用户主密钥是否被禁用或者计划删除。

  • 对于用户主密钥可用的加密云硬盘,卸载云硬盘时,数据不会丢失,也可以正常重新挂载。
  • 对于用户主密钥不可用的加密云硬盘,则该云硬盘仍可以正常使用,但不保证一直可以正常读写,并且当该加密云硬盘被卸载并重新挂载至云服务器时,将会挂载失败,此时请先恢复用户主密钥状态,然后再执行卸载操作。

针对不同状态的密钥,恢复云硬盘的方法不同,具体请参见云硬盘加密的密钥

卸载加密云硬盘的具体操作请参见卸载云硬盘