全部产品
Search

搜索本产品

    Elastic Compute Service:Gunakan disk terenkripsi

    文档中心

    Elastic Compute Service:Gunakan disk terenkripsi

    更新时间:Nov 09, 2025

    Jika perusahaan Anda memiliki persyaratan kepatuhan perlindungan data, aktifkan enkripsi disk saat membuat disk. Untuk menyesuaikan algoritma enkripsi, kebijakan rotasi kunci, atau mengelola kunci secara mandiri, gunakan kunci master pelanggan (CMK) untuk enkripsi.

    Risiko keamanan

    Data yang disimpan pada disk, seperti rahasia dagang, informasi pribadi, atau catatan keuangan, akan tersimpan sebagai teks biasa jika tidak dienkripsi. Dalam kasus ekstrem, data sensitif dapat terpapar langsung akibat pencurian perangkat fisik dari pusat data, kesalahan insinyur operasi dan pemeliharaan (O&M), tindakan jahat, atau eksploitasi kerentanan hypervisor.

    Enkripsi disk membantu memastikan integritas data dengan mencegah modifikasi selama penyimpanan. Bahkan jika disk diserang di lapisan fisik atau hypervisor, data tetap tidak dapat dibaca, melindungi privasi pengguna.

    Praktik terbaik

    Saat membuat instans atau disk data, Anda dapat mengenkripsi disk menggunakan kunci layanan atau kunci master pelanggan (CMK):

    • Kunci layanan: Alibaba Cloud KMS menyediakan kunci default secara gratis untuk enkripsi sisi server produk cloud. Tidak diperlukan pembelian instans KMS. Kunci ini memberikan enkripsi dasar.

    • Kunci master pelanggan: Untuk mengontrol siklus hidup kunci, termasuk pembuatan, penyimpanan, rotasi, dan penghancuran, secara independen dari penyedia layanan cloud, Anda dapat membeli instans KMS. Ini memungkinkan Anda memenuhi berbagai persyaratan bisnis dan keamanan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.

    Konsol

    • Saat membuat instans, centang kotak Encrypt dan pilih kunci dari daftar drop-down di pengaturan System Disk dan Data Disk.

    • Saat membuat disk data, di bagian Disk, centang kotak Encrypt dan pilih kunci dari daftar drop-down.

    API

    • Saat memanggil operasi API RunInstances atau CreateInstance untuk membuat instans, gunakan parameter Encrypted untuk menentukan apakah akan mengenkripsi disk dan parameter KMSKeyId untuk menentukan kunci enkripsi.

    • Saat memanggil operasi API CreateDisk untuk membuat disk, gunakan parameter Encrypted untuk menentukan apakah akan mengenkripsi disk dan parameter KMSKeyId untuk menentukan kunci enkripsi.

    Kemampuan kepatuhan

    Pemeriksaan: Temukan disk yang tidak dienkripsi

    Evaluasi dan Wawasan Kematangan Penggunaan ECS

    1. Buka Evaluasi dan Wawasan Kematangan Penggunaan ECS.

    2. Pilih tab Security Capabilities. Klik item Use Disk Encryption To Improve Data Security untuk melihat disk yang tidak dienkripsi.

    Pusat Keamanan

    1. Buka konsol Pusat Keamanan.

    2. Di panel navigasi sebelah kiri, pilih Risk Governance > Cloud Security Posture Management. Pilih tab Cloud Product Configuration Risks. Temukan pemeriksaan bernama Pastikan disk yang terpasang dienkripsi dan Disk yang tidak terpasang dienkripsi. Di kolom Actions, klik tombol Scan.

      Jika statusnya Gagal, ada disk yang tidak dienkripsi. Klik Details untuk melihatnya.

    Blok 1: Larang pembuatan disk yang tidak dienkripsi

    Di tingkat organisasi atau akun, Anda dapat menggunakan kebijakan RAM untuk memblokir pembuatan instans dan disk jika enkripsi tidak diaktifkan.

    Alibaba Cloud memungkinkan Anda mengaktifkan enkripsi default tingkat akun untuk Elastic Block Storage berdasarkan wilayah. Setelah fitur ini diaktifkan, semua disk baru, snapshot yang disalin, dan citra yang disalin di wilayah tersebut dienkripsi secara default tanpa perlu menentukan parameter enkripsi secara terpisah.

    • Untuk pengguna perusahaan:

      1. Masuk ke konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempelkan konten JSON berikut.

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:IsSystemDiskEncrypted": "false"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": "ecs:CreateDisk",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    }
  ]
}

      2. Di Direktori Sumber Daya, pilih node yang sesuai dan lampirkan kebijakan tersebut. Kebijakan ini akan memblokir tindakan yang ditentukan untuk semua akun dalam direktori.

    • Untuk pengguna individu:

      1. Masuk ke konsol Resource Access Management (RAM) dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Policies dan buat kebijakan kustom yang berisi konten yang ditunjukkan di atas.

      2. Berikan kebijakan kepada pengguna RAM, grup pengguna RAM, atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin menggunakan kebijakan.

    Blok 2: Larang pembuatan disk yang tidak dienkripsi dengan CMK

    Di tingkat organisasi atau akun, Anda dapat menggunakan kebijakan RAM untuk memblokir pembuatan instans dan disk yang tidak dienkripsi dengan kunci master pelanggan (CMK).

    • Untuk pengguna perusahaan:

      1. Masuk ke konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempelkan konten JSON berikut.

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskByokEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:IsSystemDiskByokEncrypted": "false"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": "ecs:CreateDisk",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskByokEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    }
  ]
}

      2. Di Direktori Sumber Daya, pilih node yang sesuai dan lampirkan kebijakan tersebut. Kebijakan ini akan memblokir tindakan yang ditentukan untuk semua akun dalam direktori.

    • Untuk pengguna individu:

      1. Gunakan Akun Alibaba Cloud Anda untuk masuk ke konsol RAM. Di panel navigasi sebelah kiri, klik Policies untuk membuat kebijakan kustom yang menggunakan konten dari contoh sebelumnya.

      2. Berikan kebijakan kepada pengguna RAM, grup pengguna RAM, atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin menggunakan kebijakan.

    Perbaiki: Perbaiki risiko disk yang ada yang tidak dienkripsi

    Sebelum menggunakan templat ini, periksa tipe disk Anda. Templat ini mendukung enkripsi hanya untuk seri ESSD, seperti ESSD PL0, PL1, PL2, dan PL3, ESSD Entry, ESSD AutoPL, dan penyimpanan redundan zona ESSD. Disk langganan yang dibeli dengan diskon tidak dapat dienkripsi menggunakan templat ini. Biaya tambahan berlaku.

    Untuk melakukan enkripsi massal pada disk menggunakan Layanan Orkestrasi CloudOps (OOS), lihat ACS-ECS-BulkyEncryptDisks.