ECS イメージの暗号化機能では、イメージをコピーする際にキーの追加または置換えをして新しい暗号化イメージの生成ができます。 システムによって自動生成された CMK (Customer Master Keys) を使用するか、BYOK (Bring Your Own Key) モデルを使用できます。

イメージの暗号化とは

イメージの暗号化はベータ段階で、中国 (香港) でのみ利用可能です。

セキュリティまたはコンプライアンス上の理由でイメージ内のデータを暗号化する必要がある場合、Alibaba Cloud の ECS イメージ暗号化機能を使用することでデータのプライバシーを保護できます。独自のキー管理インフラストラクチャの構築、維持、保護は不要です。

KMS (Key Management Service) は、システムで生成された CMK を提供し、BYOK モデルに対応しています。 具体的には、キー マテリアルをアップロードして CMK を生成し、KMS で CMK をホストできます。 イメージを暗号化する際、システムが提供する CMK を選択するか、または独自のキーを使用できます。

したがって、(ECS コンソールまたは API で) ECS イメージ暗号化機能を初めて使用する前に、Key Management Serviceを有効化する必要があります。 さらに、システムが提供する CMK を使用する場合は、システム操作権限のアクセス管理を有効化する必要があります。

イメージ暗号化方法

次のイメージ暗号化方法に対応しています。
  • 暗号化されていないカスタムイメージを、暗号化されていないカスタムイメージにコピー。

    イメージコピープロセスによってターゲットイメージの暗号化ステータスが変わることはありません。

  • 暗号化されていないカスタムイメージを、暗号化されたカスタムイメージにコピー。

    イメージコピープロセスによってターゲットイメージの暗号化ステータスが変わります。 イメージコピーのプロセス中に、新しい暗号化キーを提供する必要があります。 暗号化後、ターゲットイメージを使用して作成されたインスタンスにこのキーを使用してアクセスする必要があります。

  • 暗号化されたカスタムイメージを暗号化されたカスタムイメージにコピー (キーは置き換えられません)。

    イメージコピープロセスによって、ターゲットイメージの暗号化ステータスが変わったりキーが置き換えられることはありません。 つまり、暗号化されたソースイメージは、ターゲットイメージでは暗号化されたままです。 このケースでは、ターゲットイメージを使用して作成されたインスタンスに元のキーを使用してアクセスする必要があります。

  • 暗号化されたカスタムイメージを、暗号化されたカスタムイメージにコピー (キーが置き換えられます)。

    イメージコピープロセスによって、イメージの暗号化ステータスが変わることはありませんが、キーは置き換えられます。 つまり、イメージコピーのプロセス中に、新しい暗号化キーを提供する必要があります。 暗号化後、ターゲットイメージを使用して作成されたインスタンスにこのキーを使用してアクセスする必要があります。

制限事項

  • カスタムイメージのみに対応しています。 暗号化されたイメージは、暗号化されていないイメージへのコピー、リージョン間でのコピー、共有、エクスポートはできません。
  • システムによって自動的に生成される CMK を使用する場合、CMK は削除できませんが、無料で保持できます。
  • ECS Bare Metal Instances (X-Dragon) には対応していません。

価格

項目 価格
ECS イメージ暗号化 無料で使用できます (料金は発生しません)。
各リージョンで ECS によって作成された CMK 無料で使用できます (料金は発生しません)。 さらに、ECS で作成された CMK は、各リージョンで許可されている CMK のクォータに含まれていません。
KMS で作成する CMK これらの CMK には料金が発生します。
イメージ管理操作。クォータを超える対応リージョンで KMS API を呼び出した回数に基づいて請求されます (これらの管理操作を ECS コンソールで実行するか API で実行するかに関わらず)。

無料で使用できます (料金は発生しません) 。

注意 支払いが完了したことをご確認ください。 支払いが完了していない場合、イメージの暗号化が失敗し、追加料金が発生します。

API を使用してイメージを暗号化

または、CopyImage API を実行してイメージをコピーし、 KMSKeyId を指定してイメージを暗号化することもできます。