All Products
Search
Document Center

Elastic Compute Service:Disk Encryption

Last Updated:Jun 21, 2026

Enkripsi disk ECS dengan Key Management Service (KMS) melindungi data saat tidak aktif dari ancaman seperti pencurian fisik dan akses tidak sah.

Cara kerja

Disk terenkripsi menggunakan sistem kunci dua tingkat:

  • Kunci data: Mengenkripsi dan mendekripsi data pada disk.

  • Kunci KMS: Disimpan di KMS dan digunakan untuk mengenkripsi serta mendekripsi kunci data.

Saat Anda membuat disk terenkripsi, ECS menyimpan kunci data yang telah dienkripsi oleh KMS bersama disk tersebut. Saat instans dinyalakan, ECS meminta KMS untuk mendekripsi kunci data dan memuat kunci teks biasa ke dalam memori guna enkripsi dan dekripsi data.

Buat disk terenkripsi

  1. Buat disk terenkripsi.

    Penting

    Enkripsi bersifat ireversibel. Disk terenkripsi tidak dapat dikonversi kembali ke keadaan tidak terenkripsi.

    Konsol

    Anda dapat membuat disk terenkripsi dalam skenario berikut:

    • Buat disk dari snapshot terenkripsi yang tidak dibagikan: Disk menggunakan kunci yang sama dengan snapshot secara default. Anda dapat memilih kunci KMS yang berbeda.

    • Buat disk dari snapshot terenkripsi yang dibagikan: Disk menggunakan kunci layanan secara default. Anda dapat memilih kunci KMS yang berbeda.

    • Buat disk di wilayah tempat enkripsi default tingkat akun untuk Elastic Block Storage diaktifkan: Disk menggunakan kunci tingkat akun yang ditentukan secara default. Anda dapat memilih kunci KMS yang berbeda.

    • Skema lainnya: Pilih kotak centang Encryption dan pilih kunci KMS. Kunci layanan digunakan secara default.

    KMS menyediakan dua jenis kunci:

    • Kunci layanan: Dibuat dan dikelola secara otomatis oleh layanan cloud. Alias kuncinya adalah alias/acs/ecs. Kunci layanan tidak memerlukan manajemen siklus hidup dan memenuhi kebutuhan enkripsi dasar.

    • Kunci utama pelanggan (CMK): Kunci yang Anda buat di atau impor ke KMS. CMK memberikan kontrol penuh atas siklus hidup kunci, termasuk rotasi, penonaktifan, dan penghapusan.

    Saat pertama kali menggunakan CMK untuk enkripsi, ikuti petunjuk di layar untuk memberikan peran AliyunECSDiskEncryptDefaultRole kepada ECS agar dapat mengakses resource KMS.

    API

    • Enkripsi disk sistem dan disk data saat membuat instans ECS.

      Panggil operasi RunInstances dan atur parameter Encrypted dan KMSKeyId.

    • Buat disk data terenkripsi secara terpisah.

      Panggil operasi CreateDisk dan atur parameter Encrypted dan KMSKeyId.

  2. Lakukan langkah-langkah pasca pembuatan.

Konversi disk tidak terenkripsi menjadi disk terenkripsi

Anda tidak dapat langsung mengenkripsi disk yang sudah ada dan tidak terenkripsi. Buat salinan terenkripsi menggunakan custom image atau snapshot terenkripsi, lalu ganti OS atau sambungkan disk baru tersebut.

Penerapan di lingkungan produksi

  • Jangan menghapus atau menonaktifkan kunci tanpa alasan yang jelas.

    Menghapus atau menonaktifkan kunci menyebabkan semua resource terenkripsi yang menggunakannya — disk cloud, snapshot, dan image — tidak dapat didekripsi, sehingga menyebabkan kehilangan data permanen. Sebelum melanjutkan, periksa resource yang terkait dengan kunci tersebut.

    Penting

    Anda bertanggung jawab atas kehilangan data yang disebabkan oleh penonaktifan atau penghapusan kunci.

  • Batasi pengguna RAM hanya untuk membuat disk terenkripsi.

    Untuk mencegah kebocoran data dari disk yang tidak terenkripsi, konfigurasikan kebijakan kustom untuk pengguna Resource Access Management (RAM) agar hanya dapat membuat disk terenkripsi.

  • Cegah pengguna RAM mengelola kunci.

    Untuk mencegah penghapusan atau penonaktifan kunci secara tidak sengaja, berikan izin KMS read-only kepada pengguna RAM dengan melampirkan kebijakan AliyunKMSReadOnlyAccess.

  • Enkripsi disk sistem yang sudah ada secara massal

    Gunakan templat publik OOS ACS-ECS-BulkyEncryptSystemDisk untuk mengenkripsi disk sistem dari beberapa instans ECS dengan mengganti sistem operasi mereka.

Penagihan

  • Biaya disk: Disk terenkripsi dan tidak terenkripsi mengikuti aturan penagihan yang sama. Enkripsi tidak dikenai biaya tambahan. Lihat penagihan Block Storage.

  • Biaya kunci: Penggunaan kunci tidak dikenai biaya.

Batasan

  • Tipe instans

    Disk sistem terenkripsi dan disk data terenkripsi yang dibuat dari snapshot tidak dapat disambungkan ke tipe instans berikut: ecs.ebmg5, ecs.ebmgn5t, ecs.ebmi3, ecs.sccg5, ecs.scch5, ecs.ebmc4, dan ecs.ebmhfg5.

  • Tipe disk

    Hanya disk seri ESSD yang mendukung enkripsi: enterprise SSDs (ESSDs), ESSD Entry disks, ESSD AutoPL disks, dan regional ESSDs.

  • Wilayah

    • Wilayah tempat Anda tidak dapat membuat disk terenkripsi: Tiongkok (Nanjing - Local Region - Ditutup), Korea Selatan (Seoul).

    • Wilayah tempat Anda tidak dapat menggunakan CMK: Tiongkok (Fuzhou - Local Region - Ditutup), Thailand (Bangkok).

FAQ

Bagaimana cara memverifikasi bahwa data dienkripsi saat tidak aktif?

Penting

Metode ini memverifikasi enkripsi dengan menonaktifkan kunci, yang menyebabkan error baca/tulis pada disk sistem. Beli instans uji untuk pengujian ini.

  1. Saat membeli instans uji, buat disk sistem yang dienkripsi dengan CMK.

  2. Nonaktifkan CMK tersebut.

    1. Masuk ke Konsol Key Management Service. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.

    2. Di tab Customer Master Keys atau Default Keys, temukan kunci target dan klik Disable di kolom Actions.

    3. Di kotak dialog Disable Key, konfirmasi tindakan tersebut dan klik Confirm.

      Penting

      Sebelum menonaktifkan CMK, periksa resource cloud yang terkait untuk menghindari gangguan layanan.

  3. Verifikasi enkripsi tersebut.

    Sambungkan ke instans ECS dan jalankan sudo reboot. Karena kunci KMS dinonaktifkan, sistem tidak dapat mendekripsi data, sehingga menyebabkan hang I/O. Jika Anda terhubung melalui VNC, layar hitam mengonfirmasi bahwa data dienkripsi saat tidak aktif.

  4. Aktifkan kembali CMK dan rilis instans uji.

Referensi