云硬盘加密
最近更新时间: 2024-06-12 15:06:00
当您的业务因为安全或合规要求等原因,需要对存储在云硬盘上的数据进行加密保护时,您可以开启云硬盘加密功能,使用 密钥管理服务(KMS) 提供的基础设施有效保护数据的隐私性。
密钥管理
使用行业标准的 AES-256 算法,利用数据密钥加密您的云硬盘数据。第一次使用加密云硬盘时,系统会为您在 KMS 中的相应地域自动创建一个专门为云硬盘加密使用的用户主密钥(CMK)。该自动创建的密钥有且仅有一个,并存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。
每个地域的加密云硬盘,都使用对应地域下唯一的256位数据密钥(DK)进行加密。通过加密云硬盘创建的快照,以及使用这些加密快照创建的加密云硬盘均关联该密钥。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DK)仅在实例所在的宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
工作原理
当您设置云硬盘为加密云硬盘时,KMS 对数据进行加密,并在读取数据时自动解密。加解密过程在云服务器实例所在的宿主机上运行,对云硬盘读写性能几乎没有影响,可参考 如何衡量云硬盘的性能 进行云硬盘的性能测试。
在创建加密云硬盘并将其挂载到实例后,系统将对以下数据进行加密:
云硬盘中的静态数据。
云硬盘和实例间传输的数据(实例操作系统内的数据不加密)。
使用加密云硬盘创建的所有快照。
使用限制
云硬盘的加密功能具有以下限制:
| 限制类型 | 说明 |
|---|---|
| 云硬盘相关限制 | - 云硬盘加密支持目前所有云硬盘类型和实例类型。 - 只能加密云硬盘,不能加密本地盘。 - 只能加密数据盘,不能加密系统盘。 - 已经存在的非加密盘,不能直接转换成加密盘。 - 已经加密的云硬盘,不能转换为非加密云硬盘。 - 加密云硬盘扩容后,需要从云服务器上卸载并重新挂载后才可识别新增容量。 - 加密云硬盘不支持挂载在带本地存储的实例上。 |
| 快照、镜像相关限制 | - 已经存在的非加密盘产生的快照,不能直接转换成加密快照。 - 加密快照不能转换为非加密快照。 - 不能共享带有加密快照的镜像。 - 已经存在的非加密盘产生的快照,不能直接转换成加密快照。 - 不能跨地域复制加密快照及加密快照创建的镜像。 |
| 其他限制 | - 云硬盘加密功能依赖于同一地域的 KMS,如果您没有其他操作请求,则无需在 KMS 控制台做额外的操作。 - 首次使用云硬盘加密功能时,需要根据页面提示授权开通 KMS,否则将无法购买加密云硬盘。 - 系统专门为云硬盘加密所创建的 CMK 可通过 KMS 控制台查询,但不能自行指定,不能删除,也无法更改。 |
操作费用
云硬盘加密功能及所使用的 CMK 均不产生额外的费用,对云硬盘中数据的读写操作也不会产生额外的费用。但涉及加密云硬盘的管理操作时,无论通过控制台还是使用 API 进行加密云硬盘管理操作,均会以 API 的形式使用 KMS,并计入您在该地域下的 KMS 调用次数。KMS 本身按调用次数收费,计费详情请参考 密钥管理服务计费概述。
对加密云硬盘的管理操作包括:
创建加密云硬盘。
挂载云硬盘。
卸载云硬盘。
创建快照。
回滚快照。
说明:
请保证您的账户余额充足,否则会出现操作失败。
创建加密云硬盘
您可通过以下三种方式创建加密云硬盘:
使用控制台创建加密云硬盘
登录云硬盘控制台,选择对应地域后单击【新建】。
在“购买数据盘”对话框中,勾选云硬盘加密选项。
说明:
若您是第一次在该地域下使用加密云硬盘,您需要首先对密钥管理服务进行授权。
根据您的实际情况选择云硬盘配置,并单击【确定】。
购买完成后,您可在 云硬盘列表 页面查看已创建的加密云硬盘。
新建的加密云硬盘为【待挂载】状态,可参考 挂载云硬盘 将云硬盘挂载至同一可用区内的云服务器。
使用快照创建加密云硬盘
请参考 从快照创建云硬盘,选择加密快照创建云硬盘,即可创建已包含相关数据且加密的云硬盘。
使用 API 创建加密云硬盘
可使用 *CreateDisks 接口 *通过以下两种方式创建加密云硬盘:
指定加密选项
Encrypt为true。指定加密快照的
SnapshotId。
转换数据加密状态
如果您需要对云硬盘现有数据从非加密状态转换为加密状态,建议您使用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令,将数据从非加密盘上复制到新创建的加密盘上。
如果您需要对云硬盘现有数据从加密状态转换为非加密状态,则建议您使用相同命令将数据从加密盘上复制到新创建的非加密盘上。