文档首页 > > 产品介绍> 安全> 用户加密

用户加密

分享
更新时间: 2019/10/24 GMT+08:00

用户加密,是指用户通过公有云平台提供的加密特性,对弹性云服务器资源进行加密,从而提升数据的安全性。用户加密功能包括镜像加密和云硬盘加密。

镜像加密

镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密,提升数据的安全性。

创建加密镜像的方法有两种:

  • 通过已有的加密弹性云服务器创建加密镜像
  • 通过外部镜像文件创建加密镜像

更多关于镜像加密的信息,请参见镜像加密

云硬盘加密

云硬盘加密支持系统盘加密和数据盘加密。

  • 在创建弹性云服务器时,您可以对添加的数据盘进行加密。
  • 在创建弹性云服务器时,如果选择的镜像为加密镜像,那么系统盘默认开启加密功能,加密方式与镜像保持一致。

更多关于云硬盘加密的信息,请参见云硬盘加密

对弹性伸缩的影响

如果使用加密的弹性云服务器创建弹性伸缩配置,那么创建出来的伸缩配置,加密方式与原云服务器保持一致。

关于密钥

加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key, DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key, CMK)对DEK进行加密,保护DEK,如图1所示。

图1 数据加密过程

数据加密过程中涉及的几种密钥,如表1所示。

表1 密钥说明

名称

概念

功能

数据加密密钥

即DEK,是用户加密数据的加密密钥。

加密具体资源。

用户主密钥

即CMK,是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。

一个用户主密钥可以加密多个DEK。

支持禁用、计划删除等操作。

默认主密钥

属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。

例如:evs/default

  • 支持通过管理控制台KMS页面查询默认主密钥详情。
  • 不支持禁用、计划删除等操作。

如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。

关于密钥管理的更多信息,请参见《数据加密服务用户指南》

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区