Anda dapat mengaktifkan fitur Enkripsi Default Elastic Block Storage (EBS) Tingkat Akun berdasarkan wilayah. Jika Anda membuat disk, menyalin snapshot, atau menyalin gambar di wilayah tempat fitur ini diaktifkan, disk, salinan snapshot, atau salinan gambar akan dienkripsi secara otomatis tanpa perlu menentukan parameter enkripsi secara terpisah. Hal ini menyederhanakan konfigurasi dan meningkatkan pengalaman pengguna. Fitur ini cocok untuk akun perusahaan dan operator keamanan, memastikan bahwa semua disk baru yang dibuat sesuai dengan standar keamanan dan memungkinkan pengelolaan terpusat sumber daya yang dienkripsi.
Batasan
Perhatikan batasan berikut pada fitur Enkripsi Default EBS Tingkat Akun:
Fitur ini hanya didukung untuk pengguna tertentu. Jika Anda ingin menggunakan fitur ini, ajukan tiket.
Sebelum mengaktifkan fitur ini untuk Pengguna Resource Access Management (RAM), pemilik akun Alibaba Cloud harus melampirkan kebijakan AliyunECSFullAccess ke pengguna RAM untuk memberi mereka izin yang diperlukan. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
Sebelum mengaktifkan fitur ini untuk suatu wilayah, Anda harus mengaktifkan Key Management Service (KMS) di wilayah tersebut. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instance KMS.
Setelah mengaktifkan fitur ini untuk suatu wilayah, batasan berikut berlaku di wilayah tersebut:
Fitur ini berlaku untuk disk yang dibuat setelah fitur diaktifkan dan tidak berlaku untuk disk yang sudah ada.
Anda tidak dapat membuat disk non-terenkripsi, salinan snapshot, atau salinan gambar.
Anda tidak dapat membuat SSD standar terenkripsi, ultra disk, atau disk dasar dari snapshot atau gambar non-terenkripsi.
Konfigurasikan fitur Enkripsi Default EBS Tingkat Akun
Aktifkan fitur Enkripsi Default EBS Tingkat Akun
Anda harus mengonfigurasi fitur Enkripsi Default EBS Tingkat Akun berdasarkan wilayah. Jika Anda membuat disk, menyalin snapshot, atau menyalin gambar di wilayah tempat fitur ini diaktifkan, disk, salinan snapshot, atau salinan gambar akan dienkripsi secara otomatis.
Gunakan konsol ECS
Masuk ke Konsol Elastic Compute Service (ECS).
Di bagian Common Features halaman Overview, klik Configure Encryption Settings.
Klik Add Region. Pilih wilayah tempat Anda ingin mengaktifkan fitur Enkripsi Default EBS Tingkat Akun, tentukan kunci enkripsi default untuk setiap wilayah yang dipilih, lalu klik Confirm.
CatatanSaat menentukan kunci enkripsi default, Anda dapat memilih kunci layanan dengan alias alias/acs/ecs atau kunci master pelanggan (CMK) yang Anda buat di KMS dari daftar drop-down. Untuk informasi tentang kunci enkripsi, lihat bagian Kunci Enkripsi dari topik "Enkripsi cloud disk". CMK yang Anda pilih harus memenuhi persyaratan wilayah dan izin. Untuk informasi lebih lanjut, lihat bagian Batasan dari topik "Enkripsi cloud disk".
Buat disk terenkripsi. Untuk informasi lebih lanjut, lihat Buat disk data kosong.
Encryption dipilih secara otomatis dan tidak dapat dihapus. Kunci enkripsi default dari wilayah tempat Anda membuat disk digunakan secara otomatis untuk mengenkripsi disk. Anda dapat memilih kunci enkripsi lain dari daftar drop-down kunci enkripsi.
CatatanJika Anda membuat disk dari snapshot, Anda hanya dapat membuat Enterprise SSD (ESSD), ESSD Entry disk, atau ESSD AutoPL disk.
Panggil operasi API
Panggil operasi EnableDiskEncryptionByDefault untuk mengaktifkan fitur Enkripsi Default EBS Tingkat Akun untuk suatu wilayah.
Nonaktifkan fitur Enkripsi Default EBS Tingkat Akun
Anda dapat menonaktifkan fitur Enkripsi Default EBS Tingkat Akun berdasarkan wilayah sesuai dengan kebutuhan bisnis Anda. Jika Anda ingin mengenkripsi disk di wilayah setelah menonaktifkan fitur ini, Anda dapat memilih Enkripsi saat membuat disk. Untuk informasi lebih lanjut, lihat bagian Enkripsi cloud disk dari topik "Enkripsi cloud disk".
Gunakan konsol ECS
Masuk ke Konsol ECS.
Di bagian Common Features halaman Overview, klik Configure Encryption Settings.
Klik ikon
yang sesuai dengan wilayah tempat Anda ingin menonaktifkan fitur Enkripsi Default EBS Tingkat Akun.
Panggil operasi API
Panggil operasi DisableDiskEncryptionByDefault untuk menonaktifkan fitur Enkripsi Default EBS Tingkat Akun untuk suatu wilayah.
Hasil enkripsi
Anda dapat menggunakan salah satu metode berikut untuk mengenkripsi disk, snapshot, dan gambar:
Aktifkan enkripsi dan tentukan kunci enkripsi saat membuat disk, snapshot, dan gambar.
Aktifkan fitur Enkripsi Default EBS Tingkat Akun. Jika Anda membuat disk, menyalin snapshot, atau menyalin gambar di wilayah tempat fitur ini diaktifkan, disk, salinan snapshot, atau salinan gambar akan dienkripsi secara otomatis menggunakan kunci enkripsi default spesifik wilayah. Jika Anda menentukan kunci enkripsi untuk disk, salinan snapshot, atau salinan gambar, kunci enkripsi yang ditentukan akan mengambil alih kunci enkripsi default spesifik wilayah.
CatatanJika beberapa kunci enkripsi tersedia untuk disk, salinan snapshot, atau salinan gambar, kunci enkripsi dengan prioritas tertinggi yang digunakan. Disk, salinan snapshot, atau salinan gambar memilih kunci enkripsi dari kunci enkripsi yang tersedia dalam urutan berikut: Kunci enkripsi yang ditentukan pengguna > Kunci enkripsi snapshot atau gambar sumber > Kunci enkripsi default > Kunci layanan dengan alias alias/acs/ecs.
Hasil enkripsi disk
Apakah enkripsi disk diaktifkan | Sumber disk | Enkripsi Default EBS Tingkat Akun dinonaktifkan | Enkripsi Default EBS Tingkat Akun diaktifkan | ||
Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | ||
Tidak (Encryption akan dihapus saat Anda membuat disk.) | Disk kosong baru | Tidak dienkripsi | N/A | Dienkripsi menggunakan kunci enkripsi default | N/A |
Snapshot atau gambar non-terenkripsi | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default | |||
Snapshot atau gambar terenkripsi | Dienkripsi menggunakan kunci enkripsi snapshot atau gambar | Dienkripsi menggunakan kunci enkripsi snapshot atau gambar | |||
Snapshot atau gambar non-terenkripsi yang dibagikan oleh akun lain | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default | |||
Snapshot atau gambar terenkripsi yang dibagikan oleh akun lain (Hanya snapshot terenkripsi yang menggunakan kunci Bring Your Own Key (BYOK) yang mendukung berbagi dan Anda harus mengubah kunci saat membagikan snapshot.) | Dienkripsi menggunakan kunci layanan | Dienkripsi menggunakan kunci enkripsi default | |||
Ya (Encryption dipilih saat membuat disk.) | Disk kosong baru | Dienkripsi menggunakan kunci layanan | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan |
Snapshot atau gambar non-terenkripsi | Dienkripsi menggunakan kunci layanan | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan | |
Snapshot atau gambar terenkripsi | Dienkripsi menggunakan kunci enkripsi snapshot atau gambar | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi snapshot atau gambar | Dienkripsi menggunakan kunci enkripsi yang ditentukan | |
Snapshot atau gambar non-terenkripsi yang dibagikan oleh akun lain | Dienkripsi menggunakan kunci layanan | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan | |
Snapshot atau gambar terenkripsi yang dibagikan oleh akun lain (Hanya snapshot terenkripsi yang menggunakan kunci BYOK yang mendukung berbagi dan Anda harus mengubah kunci saat membagikan snapshot.) | Dienkripsi menggunakan kunci layanan | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan | |
Hasil enkripsi snapshot
Apakah enkripsi snapshot diaktifkan | Sumber snapshot | Enkripsi Default EBS Tingkat Akun dinonaktifkan | Enkripsi Default EBS Tingkat Akun diaktifkan | ||
Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | ||
N/A (pembuatan snapshot) | Disk non-terenkripsi | Tidak dienkripsi | N/A | Tidak dienkripsi | N/A |
Disk terenkripsi | Dienkripsi menggunakan kunci enkripsi disk | Dienkripsi menggunakan kunci enkripsi disk | |||
Tidak (Copy dipilih saat Anda menyalin snapshot.) | Snapshot non-terenkripsi yang disalin antar wilayah (Anda dapat menggunakan fitur Salin untuk menyalin snapshot hanya antar wilayah.) | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | ||
Snapshot terenkripsi yang disalin antar wilayah (Anda dapat menggunakan fitur Salin untuk menyalin snapshot hanya antar wilayah.) | N/A (Anda hanya dapat menyalin snapshot terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | N/A (Anda hanya dapat menyalin snapshot terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | |||
Snapshot non-terenkripsi yang dibagikan oleh akun lain dan disalin antar wilayah | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | |||
Snapshot terenkripsi yang dibagikan oleh akun lain dan disalin antar wilayah | N/A (Anda hanya dapat menyalin snapshot terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | N/A (Anda hanya dapat menyalin snapshot terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | |||
Ya (Copy and Encrypt dipilih saat menyalin snapshot.) | Snapshot yang disalin dan dienkripsi dalam satu wilayah, terlepas dari apakah snapshot tersebut terenkripsi atau tidak atau dibagikan oleh akun lain atau tidak | Dienkripsi menggunakan kunci layanan wilayah saat ini | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan |
Snapshot yang disalin dan dienkripsi antar wilayah, terlepas dari apakah snapshot tersebut terenkripsi atau tidak atau dibagikan oleh akun lain atau tidak | Dienkripsi menggunakan kunci layanan wilayah tujuan | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | |||
Hasil enkripsi gambar
Apakah enkripsi gambar diaktifkan | Sumber gambar | Enkripsi Default EBS Tingkat Akun dinonaktifkan | Enkripsi Default EBS Tingkat Akun diaktifkan | ||
Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | Hasil enkripsi (tidak ada kunci enkripsi yang ditentukan) | Hasil enkripsi (kunci enkripsi ditentukan) | ||
N/A (pembuatan gambar) | Instance ECS dengan disk non-terenkripsi | Tidak dienkripsi | N/A | Tidak dienkripsi | N/A |
Instance ECS dengan disk terenkripsi | Dienkripsi menggunakan kunci enkripsi disk terenkripsi | Dienkripsi menggunakan kunci enkripsi disk terenkripsi | |||
Tidak (Copy dipilih saat menyalin gambar.) | Gambar non-terenkripsi yang disalin antar wilayah (Anda dapat menggunakan fitur Salin untuk menyalin gambar hanya antar wilayah.) | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | ||
Gambar terenkripsi yang disalin antar wilayah (Anda dapat menggunakan fitur Salin untuk menyalin gambar hanya antar wilayah.) | N/A (Anda hanya dapat menyalin gambar terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | N/A (Anda hanya dapat menyalin gambar terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | |||
Gambar non-terenkripsi yang dibagikan oleh akun lain dan disalin antar wilayah | Tidak dienkripsi | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | |||
Gambar terenkripsi yang dibagikan oleh akun lain dan disalin antar wilayah | N/A (Anda hanya dapat menyalin gambar terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | N/A (Anda hanya dapat menyalin gambar terenkripsi dengan menggunakan fitur Salin dan Enkripsi.) | |||
Ya (Copy and Encrypt dipilih saat Anda menyalin gambar.) | Gambar yang disalin dan dienkripsi dalam satu wilayah, terlepas dari apakah gambar tersebut terenkripsi atau tidak atau dibagikan oleh akun lain atau tidak | Dienkripsi menggunakan kunci layanan wilayah saat ini | Dienkripsi menggunakan kunci enkripsi yang ditentukan | Dienkripsi menggunakan kunci enkripsi default | Dienkripsi menggunakan kunci enkripsi yang ditentukan |
Gambar yang disalin dan dienkripsi antar wilayah, terlepas dari apakah gambar tersebut terenkripsi atau tidak atau dibagikan oleh akun lain atau tidak | Dienkripsi menggunakan kunci layanan wilayah tujuan | Dienkripsi menggunakan kunci enkripsi default wilayah tujuan | |||
Referensi
Anda dapat memanggil operasi API untuk melakukan tugas berikut:
Mengubah atau mengatur ulang kunci enkripsi default yang digunakan oleh fitur Enkripsi Default EBS Tingkat Akun di suatu wilayah. Untuk informasi lebih lanjut, lihat ModifyDiskDefaultKMSKeyId atau ResetDiskDefaultKMSKeyId.
Kueri kunci enkripsi default yang digunakan oleh fitur Enkripsi Default EBS Tingkat Akun di suatu wilayah. Untuk informasi lebih lanjut, lihat DescribeDiskDefaultKMSKeyId.
Kueri apakah fitur Enkripsi Default EBS Tingkat Akun diaktifkan di suatu wilayah. Untuk informasi lebih lanjut, lihat DescribeDiskEncryptionByDefaultStatus.