Enkripsi disk ECS dengan Key Management Service (KMS) melindungi data saat tidak aktif dari ancaman seperti pencurian fisik dan akses tidak sah.
Cara kerja
Disk terenkripsi menggunakan sistem kunci dua tingkat:
Kunci data: Mengenkripsi dan mendekripsi data pada disk.
Kunci KMS: Disimpan di KMS dan digunakan untuk mengenkripsi serta mendekripsi kunci data.
Saat Anda membuat disk terenkripsi, ECS menyimpan kunci data yang telah dienkripsi oleh KMS bersama disk tersebut. Saat instans dinyalakan, ECS meminta KMS untuk mendekripsi kunci data dan memuat kunci teks biasa ke dalam memori guna enkripsi dan dekripsi data.
Buat disk terenkripsi
-
Buat disk terenkripsi.
PentingEnkripsi bersifat ireversibel. Disk terenkripsi tidak dapat dikonversi kembali ke keadaan tidak terenkripsi.
Konsol
Anda dapat membuat disk terenkripsi dalam skenario berikut:
Buat disk dari snapshot terenkripsi yang tidak dibagikan: Disk menggunakan kunci yang sama dengan snapshot secara default. Anda dapat memilih kunci KMS yang berbeda.
Buat disk dari snapshot terenkripsi yang dibagikan: Disk menggunakan kunci layanan secara default. Anda dapat memilih kunci KMS yang berbeda.
Buat disk di wilayah tempat enkripsi default tingkat akun untuk Elastic Block Storage diaktifkan: Disk menggunakan kunci tingkat akun yang ditentukan secara default. Anda dapat memilih kunci KMS yang berbeda.
Skema lainnya: Pilih kotak centang Encryption dan pilih kunci KMS. Kunci layanan digunakan secara default.
KMS menyediakan dua jenis kunci:
Kunci layanan: Dibuat dan dikelola secara otomatis oleh layanan cloud. Alias kuncinya adalah
alias/acs/ecs. Kunci layanan tidak memerlukan manajemen siklus hidup dan memenuhi kebutuhan enkripsi dasar.Kunci utama pelanggan (CMK): Kunci yang Anda buat di atau impor ke KMS. CMK memberikan kontrol penuh atas siklus hidup kunci, termasuk rotasi, penonaktifan, dan penghapusan.
Saat pertama kali menggunakan CMK untuk enkripsi, ikuti petunjuk di layar untuk memberikan peran
AliyunECSDiskEncryptDefaultRolekepada ECS agar dapat mengakses resource KMS.API
Enkripsi disk sistem dan disk data saat membuat instans ECS.
Panggil operasi RunInstances dan atur parameter
EncrypteddanKMSKeyId.Buat disk data terenkripsi secara terpisah.
Panggil operasi CreateDisk dan atur parameter
EncrypteddanKMSKeyId.
Lakukan langkah-langkah pasca pembuatan.
Disk sistem: Siap digunakan.
Disk data:
Dibuat dengan instance:
Windows: Siap digunakan.
Linux: Inisialisasi disk sebelum digunakan.
Dibuat secara terpisah: Sambungkan disk ke instans ECS, lalu inisialisasi disk.
Konversi disk tidak terenkripsi menjadi disk terenkripsi
Anda tidak dapat langsung mengenkripsi disk yang sudah ada dan tidak terenkripsi. Buat salinan terenkripsi menggunakan custom image atau snapshot terenkripsi, lalu ganti OS atau sambungkan disk baru tersebut.
Disk sistem
Salin custom image tersebut dan pilih enkripsi untuk membuat salinan terenkripsi.
Buat disk sistem terenkripsi dengan salah satu metode berikut:
Ganti sistem operasi instans asli dengan image terenkripsi tersebut.
Buat instans baru dari image terenkripsi tersebut.
Disk data
Buat snapshot dari disk data tersebut.
Sambungkan disk terenkripsi yang baru dibuat ke instans ECS asli.
Penerapan di lingkungan produksi
Jangan menghapus atau menonaktifkan kunci tanpa alasan yang jelas.
Menghapus atau menonaktifkan kunci menyebabkan semua resource terenkripsi yang menggunakannya — disk cloud, snapshot, dan image — tidak dapat didekripsi, sehingga menyebabkan kehilangan data permanen. Sebelum melanjutkan, periksa resource yang terkait dengan kunci tersebut.
PentingAnda bertanggung jawab atas kehilangan data yang disebabkan oleh penonaktifan atau penghapusan kunci.
Batasi pengguna RAM hanya untuk membuat disk terenkripsi.
Untuk mencegah kebocoran data dari disk yang tidak terenkripsi, konfigurasikan kebijakan kustom untuk pengguna Resource Access Management (RAM) agar hanya dapat membuat disk terenkripsi.
Cegah pengguna RAM mengelola kunci.
Untuk mencegah penghapusan atau penonaktifan kunci secara tidak sengaja, berikan izin KMS read-only kepada pengguna RAM dengan melampirkan kebijakan AliyunKMSReadOnlyAccess.
Enkripsi disk sistem yang sudah ada secara massal
Gunakan templat publik OOS ACS-ECS-BulkyEncryptSystemDisk untuk mengenkripsi disk sistem dari beberapa instans ECS dengan mengganti sistem operasi mereka.
Penagihan
Biaya disk: Disk terenkripsi dan tidak terenkripsi mengikuti aturan penagihan yang sama. Enkripsi tidak dikenai biaya tambahan. Lihat penagihan Block Storage.
Biaya kunci: Penggunaan kunci tidak dikenai biaya.
Batasan
Tipe instans
Disk sistem terenkripsi dan disk data terenkripsi yang dibuat dari snapshot tidak dapat disambungkan ke tipe instans berikut: ecs.ebmg5, ecs.ebmgn5t, ecs.ebmi3, ecs.sccg5, ecs.scch5, ecs.ebmc4, dan ecs.ebmhfg5.
Tipe disk
Hanya disk seri ESSD yang mendukung enkripsi: enterprise SSDs (ESSDs), ESSD Entry disks, ESSD AutoPL disks, dan regional ESSDs.
Wilayah
Wilayah tempat Anda tidak dapat membuat disk terenkripsi: Tiongkok (Nanjing - Local Region - Ditutup), Korea Selatan (Seoul).
Wilayah tempat Anda tidak dapat menggunakan CMK: Tiongkok (Fuzhou - Local Region - Ditutup), Thailand (Bangkok).
FAQ
Bagaimana cara memverifikasi bahwa data dienkripsi saat tidak aktif?
Metode ini memverifikasi enkripsi dengan menonaktifkan kunci, yang menyebabkan error baca/tulis pada disk sistem. Beli instans uji untuk pengujian ini.
Saat membeli instans uji, buat disk sistem yang dienkripsi dengan CMK.
-
Nonaktifkan CMK tersebut.
Masuk ke Konsol Key Management Service. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
Di tab Customer Master Keys atau Default Keys, temukan kunci target dan klik Disable di kolom Actions.
Di kotak dialog Disable Key, konfirmasi tindakan tersebut dan klik Confirm.
PentingSebelum menonaktifkan CMK, periksa resource cloud yang terkait untuk menghindari gangguan layanan.
Verifikasi enkripsi tersebut.
Sambungkan ke instans ECS dan jalankan
sudo reboot. Karena kunci KMS dinonaktifkan, sistem tidak dapat mendekripsi data, sehingga menyebabkan hang I/O. Jika Anda terhubung melalui VNC, layar hitam mengonfirmasi bahwa data dienkripsi saat tidak aktif.Aktifkan kembali CMK dan rilis instans uji.