管理加密云硬盘
什么是云硬盘加密
当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。
EVS加密采用行业标准的XTS-AES-256加密算法,利用密钥加密云硬盘。加密云硬盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块(HSM,Hardware Security Module),从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
已经购买完成的云硬盘不支持更改加密属性。
创建加密云硬盘的具体操作请参见购买云硬盘。
云硬盘加密的密钥
- 默认密钥: 由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。
- 自定义密钥: 由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《数据加密服务用户指南》的“密钥管理 > 创建密钥”章节。
- 共享密钥:通过DEW服务为其他账号创建授权,将拥有的密钥共享给其他账号使用,具体请参见创建授权。
当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该自定义密钥处于可用状态。
自定义密钥的状态 |
影响 |
恢复方法 |
---|---|---|
处于“禁用”状态 |
|
启用自定义密钥,具体请参见启用密钥。 |
处于“计划删除”状态 |
取消删除自定义密钥,具体请参见取消删除密钥。 |
|
已经被删除 |
磁盘数据永远无法恢复。 |
自定义密钥为付费使用,如果为按需计费的密钥,请及时充值确保账户余额充足,如果为包年/包月的密钥,请及时续费,以避免加密云硬盘不可读写导致业务中断,甚至数据永远无法恢复。
云硬盘加密场景
- 系统盘加密场景
系统盘需要跟随云服务器一起购买,无法单独购买。因此系统盘的加密与创建云服务器时所选择的镜像加密属性相关,主要涉及如下场景:
表2 镜像加密与系统盘加密之间的关系 购买云服务器时,系统盘是否加密
是否使用加密镜像创建云服务器
创建的系统盘是否加密
说明
是(密钥A)自定义购买弹性云服务器
是(密钥B)
是(密钥A)
- 购买云服务器时,系统盘加密请参见自定义购买弹性云服务器。
- 关于镜像加密,具体请参见加密镜像。
是(密钥A)
否
是(密钥A)
购买云服务器时,系统盘加密请参见自定义购买弹性云服务器
否
是(密钥B)
是(密钥B)
关于镜像加密,具体请参见加密镜像。
否
否
否
如果想使用非加密镜像创建加密系统盘,可以先把非加密镜像复制为加密镜像,然后在创建云服务器时选择该加密镜像,即可创建加密系统盘。具体参见复制镜像。
- 数据盘加密场景
数据盘可以跟随云服务器一起购买,也可以单独购买。数据盘是否加密主要涉及涉及如下场景:
表3 备份、快照、镜像加密与数据盘加密之间的关系 购买位置
购买方式
创建的数据盘是否加密
说明
在云服务器控制台购买
随云服务器一起购买
是/否
随云服务器一起购买的数据盘,可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。
在云硬盘控制台单独购买
不选择数据源创建
是/否
不选择数据源创建的空白数据盘,可以选择加密或不加密,创建完成后无法更改其加密属性。
从备份创建
是/否
- 从备份创建的数据盘加密属性无需和备份保持一致,可以选择加密或不加密。
- 通过数据盘/系统盘创建备份时,备份的加密属性与源云硬盘保持一致。
从快照创建
(快照源云硬盘加密)
是
通过加密云硬盘创建的快照为加密快照。
从快照创建
(快照源云硬盘未加密)
否
通过未加密云硬盘创建的快照为非加密快照。
从镜像创建
(镜像源云硬盘加密)
是
-
从镜像创建
(镜像源云硬盘未加密)
否
-
约束与限制
限制项 |
限制说明 |
---|---|
支持加密的云硬盘类型 |
所有云硬盘均支持。 |
加密云硬盘的限制项 |
云硬盘的加密属性在其创建后,不支持修改。即:
|
用户权限限制 |
使用加密功能时,根据用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分:
|
加密镜像的限制项 |
|
创建加密云硬盘
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。
创建加密云硬盘的具体操作请参见购买云硬盘。