更新时间:2024-04-24 GMT+08:00

磁盘加密

什么是磁盘加密

当您由于业务需求从而需要对存储在磁盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的磁盘进行加密。加密磁盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。

磁盘加密的密钥

使用KMS提供的密钥,包括默认密钥、自定义密钥 (CK, Custom Keys):
  • 默认密钥: 由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。

    默认密钥不支持禁用、计划删除等操作。

  • 自定义密钥: 由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《数据加密服务用户指南》的“密钥管理 > 创建密钥”章节。
使用自定义密钥加密磁盘,若对自定义密钥执行禁用、计划删除等操作,将会导致磁盘不可读写,甚至数据永远无法恢复,具体请参见表1
表1 自定义密钥不可用的影响

自定义密钥的状态

影响

恢复方法

处于“禁用”状态

  • 如果加密磁盘已经挂载至弹性云服务器,则该磁盘仍可以正常读写,但如果该磁盘发生卸载操作,则将无法重新挂载。
  • 如果加密磁盘没有挂载至弹性云服务器,该磁盘将无法实现挂载。

启用自定义密钥,具体请参见启用密钥

处于“计划删除”状态

取消删除自定义密钥,具体请参见取消删除密钥

已经被删除

磁盘数据永远无法恢复。

自定义密钥为付费使用,若为按需计费的密钥,请及时充值确保账户余额充足,若为包年/包月的密钥,请及时续费,以避免加密磁盘不可读写导致业务中断,甚至数据永远无法恢复。

加密磁盘及备份之间的关系

磁盘加密功能支持系统盘、数据盘和磁盘备份,具体说明如下:

  • 系统盘的加密依赖于镜像,具体请参见《镜像服务用户指南》。
  • 可以新创建加密或者不加密的磁盘,无法更改已有磁盘的加密属性。
  • 通过备份创建磁盘时,磁盘的加密属性无需和备份保持一致。

当您需要使用磁盘加密功能时,需要授权磁盘访问数据加密服务。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有Security Administrator权限的用户给您添加Security Administrator权限,然后再重新操作。更多详细信息,请参见“常见问题 > 哪些用户有权限使用加密特性”。

创建加密磁盘的具体操作请参见创建磁盘

哪些用户有权限使用磁盘加密

  • 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。
  • 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域内第一个使用加密特性的用户,作如下区分:
    • 是,即该普通用户是当前区域内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。
    • 否,即区域内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。

对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。