すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:システムディスクの暗号化

最終更新日:Jan 10, 2024

ECS (Elastic Compute Service) インスタンスを作成したり、ECSコンソールを使用したり、API操作を呼び出してカスタムイメージをコピーしたりすると、システムディスクを暗号化できます。 システムディスクを暗号化すると、ディスクに保存されているデータも暗号化されます。 マネージドサービスのカスタマーマスターキー (CMK) またはkey Management service (KMS) のカスタムCMKは、システムディスクの暗号化キーとして使用できます。 マネージドサービスCMKは、システムが作成したデフォルトのサービスCMKです。 カスタムCMKは、KMSで作成するCMKです。

背景情報

システムディスクの暗号化方法

次のいずれかの方法を使用して、システムディスクを暗号化できます。
  • 方法1: (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する
    ECSインスタンスを作成するときに、[ディスク暗号化] を選択し、[ストレージ] セクションでシステムディスクを暗号化するキーを選択します。 次の表に示す制限は、インスタンスの作成中にインスタンスのシステムディスクを暗号化する場合に適用されます。
    項目説明
    インスタンスファミリーインスタンスのインスタンスファミリーは、ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、またはecs.ebmhfg5にすることはできません。 詳細については、「インスタンスファミリーの概要」をご参照ください。
    イメージインスタンスのイメージは、共有イメージまたはAlibaba Cloud Marketplaceイメージではなく、パブリックイメージまたはカスタムイメージである必要があります。
    ディスクカテゴリディスクはESSD (enhanced SSD) である。
    カスタムCMK中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択できません。
  • 方法2: カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する
    カスタムイメージをコピーするときは、[コピーして暗号化] を選択し、カスタムイメージコピーを暗号化するキーを選択します。 暗号化されたカスタムイメージコピーからインスタンスを作成すると、インスタンスのシステムディスクとデータディスクが自動的に暗号化されます。 次の図は、コピーと暗号化機能を使用して暗号化されたシステムディスクを作成する方法を示しています。 コピーと暗号化機能を使用すると、カスタムイメージをコピーするときにイメージコピーを暗号化できます。 Copy and Encrypt

システムディスクを暗号化するシナリオ

次の表に、システムディスクを暗号化するさまざまなシナリオを示します。 これらのシナリオでは、システムディスクの暗号化状態は異なります。
インスタンス作成時に暗号化されたシステムディスクカスタムイメージの暗号化システムディスク暗号化
任意任意任意
はい (キーAを使用)

詳細については、このトピックの「 (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する」をご参照ください。

任意はい (キーAを使用)
任意はい (キーBを使用)

詳細については、このトピックの「カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する」をご参照ください。

はい (キーBを使用)
はい (キーAを使用)

詳細については、このトピックの「 (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する」をご参照ください。

はい (キーBを使用)

詳細については、このトピックの「カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する」をご参照ください。

はい (キーAを使用)

(推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する

[ディスク暗号化] を選択し、インスタンスの作成時にインスタンスのシステムディスクを暗号化するキーを選択できます。

  1. ECSコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[インスタンスとイメージ] > [インスタンス] を選択します。

  3. 上部のナビゲーションバーの左上隅で、リージョンを選択します。 地域

  4. [インスタンス] ページで、[インスタンスの作成] をクリックします。
  5. [基本構成] ステップで、次の操作を実行します。
    説明 この手順では、インスタンスの作成時にシステムディスクの暗号化設定を構成する方法について説明します。 その他のインスタンス設定については、「ウィザードを使用したインスタンスの作成」をご参照ください。
    1. [リージョン] セクションで適切なリージョンとゾーンを選択し、[インスタンスタイプ] セクションでインスタンスタイプを選択します。
    2. イメージセクションでパブリックイメージまたはカスタムイメージを選択します。
    3. Enhanced SSD (ESSD) を選択し、ストレージセクションでシステムディスクの容量を指定します。
    4. [ディスク暗号化] を選択し、[ストレージ] セクションのドロップダウンリストからキーを選択します。
      Encrypt the system disk of an instance when you create the instance
      デフォルトでは、ディスクのディスク暗号化を選択した場合、Alibaba CloudはデフォルトサービスCMKを暗号化キーとして使用します。 KMSで作成したCMKをディスクの暗号化キーとして指定することもできます。 暗号化キーとしてカスタムCMKを使用することを推奨します。 CMKの作成方法については、「CMKの作成」をご参照ください。
      説明 現在、中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、または韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択することはできません。
      ディスクが暗号化されると、ディスクの暗号化に使用されるKMSキーにタグが自動的に追加されます。 タグのキーはacs:ecs:disk-encryptionで、タグの値はtrueです。 KMSコンソールにログインし、KMSキーのIDをクリックしてタグを表示します。

カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する

同じリージョン内または異なるリージョン間でカスタムイメージをコピーする場合、[コピーと暗号化] を選択してカスタムイメージコピーを暗号化できます。 このようにして、暗号化されたカスタムイメージコピーから作成されたシステムディスクとデータディスク (存在する場合) は自動的に暗号化されます。

カスタムイメージの暗号化

ECSコンソールを使用するか、CopyImage操作を呼び出して、カスタムイメージを暗号化できます。

  • ECSコンソールでイメージをコピーするときにカスタムイメージを暗号化する

    このセクションでは、ECSコンソールで既存のカスタムイメージをコピーし、イメージコピーを暗号化する方法について説明します。 次に、暗号化されたイメージコピーから暗号化されたシステムディスクを作成できます。 使用できるカスタムイメージがない場合は、カスタムイメージを作成します。 詳細については、「スナップショットからカスタムイメージを作成する」および「インスタンスからカスタムイメージを作成する」をご参照ください。

    1. ECS コンソールにログインします。
    2. 左側のナビゲーションウィンドウで、[インスタンス & イメージ] > [イメージ] を選択します。
    3. 上部のナビゲーションバーの左側で、リージョンを選択します。
    4. [イメージ] ページで、[カスタムイメージ] タブをクリックします。
    5. コピーするカスタムイメージを見つけて、[操作] 列の [イメージのコピー] をクリックします。
    6. [イメージのコピー] ダイアログボックスで、コピーモードを [コピーして暗号化] に設定し、コピー先のリージョンを選択し、暗号化キーを選択します。 Copy an image
      デフォルトでは、コピーと暗号化を選択すると、Alibaba CloudはデフォルトサービスCMKを暗号化キーとして使用します。 KMSで作成したCMKを、イメージコピーの暗号化に使用する暗号化キーとして指定することもできます。 暗号化キーとしてカスタムCMKを使用することを推奨します。 CMKの作成方法については、「CMKの作成」をご参照ください。
      説明 初めて暗号化キーを選択したときに、[権限付与に移動] をクリックし、画面上のヒントに従ってAliyunECSDiskEncryptDefaultRoleロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 この手順では、カスタムイメージをコピーするときに暗号化設定を構成する方法についてのみ説明します。 その他の設定については、「カスタムイメージのコピー」をご参照ください。
    7. [OK] をクリックします。
  • CopyImage操作を呼び出してカスタムイメージを暗号化する
    次の例では、Alibaba Cloud CLIを使用してCopyImage操作を呼び出し、KMSKeyIdを指定してカスタムイメージをコピーし、イメージコピーを暗号化します。 次に、暗号化されたイメージコピーから暗号化されたシステムディスクを作成できます。
    aliyun ecs CopyImage -- RegionId cn-hongkong \
    -- ImageId m-bp155shrycg3s0 ****** -- DestinationRegionId cn-深セン \
    -- 暗号化されたtrue -- KMSKeyId e522b26d-abf6-4e0d-b5da-04b7 ****** 3c \
    -- Tag.N. キーEcsDocumentation 

暗号化されたカスタムイメージを使用したECSインスタンスの作成

暗号化されたカスタムイメージを使用してインスタンスを作成すると、インスタンスのシステムディスクとデータディスクは自動的に暗号化されます。 システムディスクとデータディスクは、カスタムイメージと同じ暗号化キーを使用します。 ECSインスタンスの作成方法については、「ウィザードを使用したインスタンスの作成」をご参照ください。

システムディスクの暗号化状態の変更

カスタムイメージをコピーして暗号化した後、イメージコピーから作成されたシステムディスクの暗号化状態は、イメージコピープロセス中に新しいCMKが選択されているかどうかに基づいて決定されます。 次のセクションでは、CMKがシステムディスクの暗号化状態にどのように影響するかについて説明します。
  • 暗号化されていないカスタムイメージをコピーするときにCMKを選択しない場合、イメージコピーから作成されたシステムディスクは暗号化されません。 Copy an unencrypted custom image to create an unencrypted custom image
  • 暗号化されていないカスタムイメージをコピーするときにCMKを選択した場合、イメージコピーは暗号化されます。 このCMKを使用して、イメージコピーから作成されたインスタンスにアクセスする必要があります。 Copy an unencrypted custom image to create an encrypted custom image
  • 暗号化されたイメージをコピーするときにCMKを選択しない場合、イメージコピーはコピーされたイメージと同じ暗号化キーを使用して暗号化されます。 イメージコピーから作成されたインスタンスにアクセスするには、コピーしたイメージの暗号化キーを使用する必要があります。 Copy an encrypted custom image to create an encrypted custom image with the same encryption key
  • 暗号化されたイメージをコピーするときに新しいCMKを選択した場合、イメージコピーは新しいCMKを使用して暗号化されます。 イメージコピーから作成されたインスタンスにアクセスするには、新しいCMKを使用する必要があります。 Copy an encrypted custom image to create an encrypted custom image with a different encryption key

次のステップ

暗号化されたイメージコピーを使用して、インスタンスを作成したり、インスタンスのシステムディスクを置き換えることができます。