创建加密云硬盘
您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。
云硬盘加密场景
- 系统盘加密场景
系统盘需要跟随云服务器一起购买,无法单独购买。因此系统盘的加密与创建云服务器时所选择的镜像加密属性相关,主要涉及如下场景:
表1 镜像加密与系统盘加密之间的关系 购买云服务器时,系统盘是否加密
是否使用加密镜像创建云服务器
创建的系统盘是否加密
说明
是(密钥A)自定义购买弹性云服务器
是(密钥B)
是(密钥A)
- 购买云服务器时,系统盘加密请参见自定义购买弹性云服务器。
- 关于镜像加密,具体请参见加密镜像。
是(密钥A)
否
是(密钥A)
购买云服务器时,系统盘加密请参见自定义购买弹性云服务器
否
是(密钥B)
是(密钥B)
关于镜像加密,具体请参见加密镜像。
否
否
未开启默认加密:否
开启默认加密:是
未开启默认加密:如果想使用非加密镜像创建加密系统盘,可以先把非加密镜像复制为加密镜像,然后在创建云服务器时选择该加密镜像,即可创建加密系统盘。复制镜像。
开启默认加密:使用默认加密配置的密钥,也可以修改成其他任意的密钥。
- 数据盘加密场景(默认加密已关闭)
数据盘可以跟随云服务器一起购买,也可以单独购买。数据盘是否加密主要涉及涉及如下场景:
表2 备份、快照、镜像加密与数据盘加密之间的关系 购买位置
购买方式
创建的数据盘是否加密
说明
在云服务器控制台购买
随云服务器一起购买
是/否
随云服务器一起购买的数据盘,可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。
在云硬盘控制台单独购买
不选择数据源创建
是/否
不选择数据源创建的空白数据盘,可以选择加密或不加密,创建完成后无法更改其加密属性。
从备份创建
是/否
- 从备份创建的数据盘加密属性无需和备份保持一致,可以选择加密或不加密。
- 通过数据盘/系统盘创建备份时,备份的加密属性与源云硬盘保持一致。
从快照创建
(快照源云硬盘加密)
是
通过加密云硬盘创建的快照为加密快照。
从快照创建
(快照源云硬盘未加密)
否
通过未加密云硬盘创建的快照为非加密快照。
从镜像创建
(镜像源云硬盘加密)
是
-
从镜像创建
(镜像源云硬盘未加密)
否
-
- 数据盘加密场景(默认加密已开启)
数据盘可以跟随云服务器一起购买,也可以单独购买。默认加密功能开启后,数据盘是否加密主要涉及如下场景,开启方式参见设置默认加密。
表3 备份、快照、镜像加密与数据盘加密之间的关系 场景
数据源是否加密
新的数据盘是否加密
说明
随云服务器一起创建
空白云硬盘
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
不选择数据源创建
空白云硬盘
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
使用存量快照创建云硬盘
非加密
非加密
不支持加密
加密
加密
继承源快照的密钥。
使用标准快照创建云硬盘(极速可用已开启,但是数据未上传完成)
非加密
非加密
不支持加密。
加密
加密
继承源快照的密钥。
使用标准快照创建云硬盘(数据上传完成)
非加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
使用私有镜像创建云硬盘
非加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
使用公共镜像创建云硬盘
非加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
使用云硬盘备份创建云硬盘(不区分是否共享备份)
非加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
加密
加密
使用默认加密配置的密钥,也可以修改成其他任意的密钥。
约束与限制
|
限制项 |
限制说明 |
|---|---|
|
支持加密的云硬盘类型 |
所有云硬盘均支持,但是已经购买完成的云硬盘不支持更改加密属性。 |
|
加密云硬盘 |
|
|
用户权限 |
使用加密功能时,根据用户是否为当前区域或者项目内第一个使用加密特性的用户,做如下区分:
|
|
加密镜像 |
|
计费说明
使用KMS加密模式,超过免费配额会收取相应费用。详情参见DEW服务。
创建加密云硬盘
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。
创建加密云硬盘的具体操作请参见购买云硬盘。
加密系统盘创建后可直接使用,加密数据盘创建后您还需要进行挂载和初始化等后续操作。
