磁盘加密

什么是磁盘加密

当您由于业务需求从而需要对存储在磁盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的磁盘进行加密。加密磁盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。

磁盘加密的密钥

使用自定义密钥加密磁盘，若对自定义密钥执行禁用、计划删除等操作，将会导致磁盘不可读写，甚至数据永远无法恢复，具体请参见表1。

表1 自定义密钥不可用的影响

自定义密钥的状态	影响	恢复方法
处于“禁用”状态	如果加密磁盘已经挂载至弹性云服务器，则该磁盘仍可以正常读写，但如果该磁盘发生卸载操作，则将无法重新挂载。 如果加密磁盘没有挂载至弹性云服务器，该磁盘将无法实现挂载。	启用自定义密钥，具体请参见启用密钥。
处于“计划删除”状态		取消删除自定义密钥，具体请参见取消删除密钥。
已经被删除		磁盘数据永远无法恢复。

自定义密钥为付费使用，若为按需计费的密钥，请及时充值确保账户余额充足，若为包年/包月的密钥，请及时续费，以避免加密磁盘不可读写导致业务中断，甚至数据永远无法恢复。

加密磁盘及备份之间的关系

磁盘加密功能支持系统盘、数据盘和磁盘备份，具体说明如下：

• 系统盘的加密依赖于镜像，具体请参见《镜像服务用户指南》。
• 可以新创建加密或者不加密的磁盘，无法更改已有磁盘的加密属性。
• 通过备份创建磁盘时，磁盘的加密属性无需和备份保持一致。

当您需要使用磁盘加密功能时，需要授权磁盘访问数据加密服务。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有Security Administrator权限的用户给您添加Security Administrator权限，然后再重新操作。更多详细信息，请参见“常见问题 > 哪些用户有权限使用加密特性”。

创建加密磁盘的具体操作请参见创建磁盘。

哪些用户有权限使用磁盘加密

• 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。
• 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域内第一个使用加密特性的用户，作如下区分：
  • 是，即该普通用户是当前区域内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。
  • 否，即区域内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。

对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。