更新时间:2024-01-02 GMT+08:00
分享

磁盘加密

什么是磁盘加密

当您由于业务需求从而需要对存储在磁盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的磁盘进行加密。加密磁盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。

磁盘加密的密钥

使用KMS提供的密钥,包括默认密钥和自定义密钥 (CK, Custom Keys):
  • 默认密钥: 由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。

    默认密钥不支持禁用、计划删除等操作。

  • 自定义密钥: 由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《数据加密服务用户指南》的“密钥管理 > 创建密钥”章节。
使用自定义密钥加密磁盘,若对自定义密钥执行禁用、计划删除等操作,将会导致磁盘不可读写,甚至数据永远无法恢复,具体请参见表1
表1 自定义密钥不可用的影响

自定义密钥的状态

影响

恢复方法

处于“禁用”状态

  • 如果加密磁盘已经挂载至弹性云服务器,则该磁盘仍可以正常读写,但如果该磁盘发生卸载操作,则将无法重新挂载。
  • 如果加密磁盘没有挂载至弹性云服务器,该磁盘将无法实现挂载。

启用自定义密钥,具体请参见启用密钥

处于“计划删除”状态

取消删除自定义密钥,具体请参见取消删除密钥

已经被删除

磁盘数据永远无法恢复。

自定义密钥为付费使用,若为按需计费的密钥,请及时充值确保账户余额充足,若为包年/包月的密钥,请及时续费,以避免加密磁盘不可读写导致业务中断,甚至数据永远无法恢复。

加密磁盘及备份之间的关系

磁盘加密功能支持系统盘、数据盘和磁盘备份,具体说明如下:

  • 系统盘的加密依赖于镜像,具体请参见《镜像服务用户指南》。
  • 可以新创建加密或者不加密的磁盘,无法更改已有磁盘的加密属性。
  • 通过备份创建磁盘时,磁盘的加密属性无需和备份保持一致。

当您需要使用磁盘加密功能时,需要授权磁盘访问数据加密服务。如果您有授权资格,则可直接授权。如果权限不足,需先联系拥有Security Administrator权限的用户给您添加Security Administrator权限,然后再重新操作。更多详细信息,请参见“常见问题 > 哪些用户有权限使用加密特性”。

创建加密磁盘的具体操作请参见创建磁盘

哪些用户有权限使用磁盘加密

  • 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。
  • 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:
    • 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。
    • 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。

对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。

相关文档