创建加密云硬盘

云硬盘加密场景

• 系统盘加密场景

  系统盘需要跟随云服务器一起购买，无法单独购买。因此系统盘的加密与创建云服务器时所选择的镜像加密属性相关，主要涉及如下场景：

  表1 镜像加密与系统盘加密之间的关系

  购买云服务器时，系统盘是否加密	是否使用加密镜像创建云服务器	创建的系统盘是否加密	说明
  是（密钥A）	是（密钥B）	是（密钥A）	购买云服务器时，系统盘加密请参见购买弹性云服务器。 关于镜像加密，具体请参见加密镜像。
  是（密钥A）	否	是（密钥A）	购买云服务器时，系统盘加密请参见购买弹性云服务器
  否	是（密钥B）	是（密钥B）	关于镜像加密，具体请参见加密镜像。
  否	否	否	如果想使用非加密镜像创建加密系统盘，可以先把非加密镜像复制为加密镜像，然后在创建云服务器时选择该加密镜像，即可创建加密系统盘。复制镜像。

• 数据盘加密场景

  数据盘可以跟随云服务器一起购买，也可以单独购买。数据盘是否加密主要涉及涉及如下场景：

  表2 备份、快照、镜像加密与数据盘加密之间的关系

  购买位置	购买方式	创建的数据盘是否加密	说明
  在云服务器控制台购买	随云服务器一起购买	是/否	随云服务器一起购买的数据盘，可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一：基础配置”。
  在云硬盘控制台单独购买	不选择数据源创建	是/否	不选择数据源创建的空白数据盘，可以选择加密或不加密，创建完成后无法更改其加密属性。
  	从备份创建	是/否	从备份创建的数据盘加密属性无需和备份保持一致，可以选择加密或不加密。 通过数据盘/系统盘创建备份时，备份的加密属性与源云硬盘保持一致。
  	从快照创建 （快照源云硬盘加密）	是	通过加密云硬盘创建的快照为加密快照。
  	从快照创建 （快照源云硬盘未加密）	否	通过未加密云硬盘创建的快照为非加密快照。
  	从镜像创建 （镜像源云硬盘加密）	是	-
  	从镜像创建 （镜像源云硬盘未加密）	否	-

约束与限制

计费说明

使用KMS加密模式，超过免费配额会收取相应费用。详情参见DEW计费说明。

创建加密云硬盘

当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您拥有“Security Administrator”权限，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS，然后再重新操作。

创建加密云硬盘的具体操作请参见购买云硬盘。

加密系统盘创建后可直接使用，加密数据盘创建后您还需要进行挂载和初始化等后续操作。

卸载加密云硬盘

如果是加密云硬盘，并且使用的是自定义密钥，请卸载云硬盘前确认自定义密钥是否被禁用或者计划删除。

• 对于自定义密钥可用的加密云硬盘，卸载云硬盘时，数据不会丢失，也可以正常重新挂载。
• 对于自定义密钥不可用的加密云硬盘，则该云硬盘仍可以正常使用，但不保证一直可以正常读写，并且当该加密云硬盘被卸载并重新挂载至云服务器时，将会挂载失败，此时请先恢复自定义密钥状态，然后再执行卸载操作。

针对不同状态的密钥，恢复云硬盘的方法不同，具体请参见云硬盘加密的密钥。

卸载加密云硬盘的具体操作请参见卸载云硬盘。

相关文档

• KMS密钥的详细介绍请参见密钥管理概述。
• 加密云硬盘介绍，加密原理介绍参见云硬盘加密概述。