Elastic Compute Service：Enkripsi disk

Cara kerja enkripsi dan dekripsi

Disk terenkripsi menggunakan sistem kunci dua tingkat untuk mengamankan data Anda:

• Kunci data: Digunakan untuk mengenkripsi dan mendekripsi data pada disk.

• Kunci KMS: Disimpan di KMS dan digunakan untuk mengenkripsi serta mendekripsi kunci data.

Saat Anda membuat disk terenkripsi, kunci data yang telah dienkripsi oleh kunci KMS disimpan bersama disk tersebut. Saat instans dimulai, ECS meminta KMS untuk mendekripsi kunci data, lalu memuat kunci data yang telah didekripsi (dalam bentuk teks biasa) ke dalam memori untuk mengenkripsi dan mendekripsi data.

Buat disk terenkripsi

1. Buat disk terenkripsi.

   Penting

   Enkripsi bersifat ireversibel. Disk terenkripsi tidak dapat dikonversi kembali ke keadaan tidak terenkripsi.

   Console

   Anda dapat membuat disk dalam skenario berikut.

   • Buat disk dari snapshot terenkripsi yang tidak dibagikan: Secara default, disk dienkripsi menggunakan kunci yang sama dengan snapshot tersebut. Anda dapat memilih kunci KMS berbeda dari daftar drop-down.

   • Buat disk dari snapshot terenkripsi yang dibagikan: Secara default, disk dienkripsi menggunakan kunci layanan. Anda dapat memilih kunci KMS berbeda dari daftar drop-down.

   • Buat disk di wilayah tempat enkripsi default tingkat akun untuk Elastic Block Storage diaktifkan: Secara default, disk dienkripsi menggunakan kunci tingkat akun yang ditentukan. Anda dapat memilih kunci KMS berbeda dari daftar drop-down.

   • Skema lainnya: Pilih kotak centang Encryption, lalu pilih kunci KMS dari daftar drop-down. Secara default, kunci layanan digunakan untuk enkripsi.

   KMS menyediakan dua jenis kunci berikut.

   • Kunci layanan: Kunci yang secara otomatis dibuat dan dikelola oleh layanan cloud untuk ECS. Alias kuncinya adalah alias/acs/ecs. Kunci layanan mudah digunakan dan memenuhi kebutuhan enkripsi dasar tanpa memerlukan manajemen siklus hidup kunci.

   • Customer master key (CMK): Kunci yang Anda buat di KMS atau impor ke KMS. Ini memberikan kontrol penuh kepada Anda dan cocok untuk skenario dengan persyaratan keamanan data tinggi, termasuk pengelolaan siklus hidup kunci seperti rotasi, penonaktifan, dan penghapusan.

   Saat pertama kali memilih CMK untuk enkripsi, Anda harus mengikuti instruksi di layar untuk memberikan peran AliyunECSDiskEncryptDefaultRole kepada ECS. Peran ini memungkinkan ECS mengakses resource KMS.

   

   API

   • Enkripsi disk sistem dan disk data saat membuat instans ECS.

     Panggil operasi RunInstances untuk membuat instans ECS. Untuk mengenkripsi disk sistem atau disk data, atur parameter Encrypted dan KMSKeyId.

   • Buat disk data terenkripsi secara terpisah.

     Panggil operasi CreateDisk untuk membuat disk data. Untuk mengenkripsi disk tersebut, atur parameter Encrypted dan KMSKeyId.

2. Langkah selanjutnya.

   • Disk sistem: Siap digunakan.

   • Disk data:

     • Dibuat dengan Instans:

       • Windows: Siap digunakan.

       • Linux: Anda harus menginisialisasi disk sebelum dapat menggunakannya.

     • Dibuat secara terpisah: Anda harus menyambungkan disk ke instans ECS, lalu menginisialisasi disk sebelum dapat menggunakannya.

Konversi disk tidak terenkripsi menjadi disk terenkripsi

Anda tidak dapat langsung mengenkripsi disk yang sudah ada dan tidak terenkripsi. Sebagai gantinya, buat salinan terenkripsi dari disk tersebut menggunakan custom image terenkripsi atau snapshot terenkripsi, lalu ganti sistem operasi dengan image terenkripsi tersebut atau sambungkan disk terenkripsi yang baru.

• Disk sistem

  1. Buat custom image dari instans target.

  2. Salin custom image tersebut dan pilih opsi enkripsi untuk membuat salinan terenkripsi.

  3. Gunakan salah satu metode berikut untuk membuat disk sistem terenkripsi.

     • Ganti sistem operasi instans ECS asli menggunakan image terenkripsi tersebut.

     • Buat instans baru dari image terenkripsi.

• Disk data

  1. Untuk disk data, buat snapshot.

  2. Salin snapshot tersebut untuk membuat snapshot terenkripsi.

  3. Buat disk data baru dari snapshot terenkripsi.

  4. Sambungkan disk terenkripsi yang baru dibuat ke instans ECS asli.

Terapkan di lingkungan produksi

• Jangan menghapus atau menonaktifkan kunci secara sembarangan.

  Jika Anda menghapus atau menonaktifkan kunci, semua resource terenkripsi yang menggunakannya—seperti disk cloud, snapshot, dan image—tidak dapat didekripsi, yang dapat menyebabkan kehilangan data permanen. Sebelum melanjutkan, periksa apakah ada resource yang terkait dengan kunci tersebut.

  Penting

  Anda bertanggung jawab atas kehilangan data yang disebabkan oleh penonaktifan atau penghapusan kunci.

• Batasi pengguna RAM agar hanya dapat membuat disk terenkripsi.

  Untuk memenuhi persyaratan keamanan dan kepatuhan tertentu serta mencegah kebocoran data dari disk cloud yang tidak terenkripsi, Anda dapat mengonfigurasi kebijakan kustom untuk semua pengguna Resource Access Management (RAM) di akun Anda agar dibatasi hanya boleh membuat disk cloud terenkripsi. Hal ini membantu melindungi kerahasiaan data.

• Cegah pengguna RAM mengelola kunci.

  Untuk mencegah penghapusan atau penonaktifan kunci secara tidak sengaja, Anda dapat memberikan izin read-only kepada pengguna RAM untuk KMS dengan melampirkan kebijakan AliyunKMSReadOnlyAccess.

• Enkripsi disk sistem yang sudah ada secara massal

  Anda dapat menggunakan templat publik OOS ACS-ECS-BulkyEncryptSystemDisk untuk mengenkripsi disk sistem dari beberapa instans ECS dengan mengganti sistem operasinya.

Penagihan

• Biaya disk: Disk terenkripsi dan disk tidak terenkripsi dikenai biaya dengan aturan yang sama. Fitur enkripsi tidak menimbulkan biaya tambahan. Untuk informasi lebih lanjut, lihat Penagihan Block Storage.

• Biaya kunci: Penggunaan kunci tidak dikenai biaya.

Kuota dan batasan

• Tipe instans

  Saat Anda mengenkripsi disk sistem atau membuat disk data terenkripsi dari snapshot, Anda tidak dapat menyambungkan disk tersebut ke tipe instans berikut: ecs.ebmg5, ecs.ebmgn5t, ecs.ebmi3, ecs.sccg5, ecs.scch5, ecs.ebmc4, dan ecs.ebmhfg5.

• Tipe disk

  Saat Anda mengenkripsi disk sistem atau membuat disk data terenkripsi dari snapshot, Anda hanya dapat mengenkripsi disk seri Enterprise SSD (ESSD), yaitu SSD Perusahaan (ESSD), ESSD Entry disk, ESSD AutoPL disk, dan ESSD regional.

• Wilayah

  • Wilayah tempat Anda tidak dapat membuat disk terenkripsi: Tiongkok (Nanjing - Local Region - Sedang Ditutup), Korea Selatan (Seoul).

  • Wilayah tempat Anda tidak dapat menggunakan CMK: Tiongkok (Fuzhou - Local Region - Sedang Ditutup), Thailand (Bangkok).

FAQ

Bagaimana cara memverifikasi bahwa data dienkripsi saat disimpan (at rest)?

1. Saat membeli instans uji, buat disk sistem yang dienkripsi dengan CMK.

2. Nonaktifkan CMK tersebut.

   1. Masuk ke Konsol Key Management Service. Di bilah menu atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.

   2. Di tab Customer Master Keys atau Default Keys, temukan kunci target dan klik Disable di kolom Actions.

   3. Di kotak dialog Disable Key, konfirmasi tindakan tersebut dan klik Confirm.

      Penting

      Sebelum menonaktifkan CMK, periksa resource cloud yang terkait untuk menghindari gangguan layanan.

3. Verifikasi enkripsi tersebut.

   Hubungkan ke instans ECS dan jalankan perintah sudo reboot untuk me-restart sistem operasi. Karena kunci KMS yang terkait dengan disk sistem terenkripsi dinonaktifkan, sistem tidak dapat mendekripsi data, sehingga menyebabkan hang I/O. Jika Anda kemudian menghubungkan ke instans ECS menggunakan VNC, layar hitam akan muncul. Hal ini membuktikan bahwa data tersebut dienkripsi.

4. Aktifkan CMK dan rilis instans uji.

Referensi

• Untuk informasi lebih lanjut tentang kunci KMS, lihat Jenis kunci yang mendukung enkripsi layanan cloud.

• Untuk informasi lebih lanjut tentang cara kerja enkripsi, lihat Ikhtisar integrasi KMS untuk enkripsi layanan cloud.