ECS (Elastic Compute Service) インスタンスを作成したり、ECSコンソールを使用したり、API操作を呼び出してカスタムイメージをコピーしたりすると、システムディスクを暗号化できます。 システムディスクを暗号化すると、ディスクに保存されているデータも暗号化されます。 マネージドサービスのカスタマーマスターキー (CMK) またはkey Management service (KMS) のカスタムCMKは、システムディスクの暗号化キーとして使用できます。 マネージドサービスCMKは、システムが作成したデフォルトのサービスCMKです。 カスタムCMKは、KMSで作成するCMKです。
背景情報
システムディスクの暗号化方法
次のいずれかの方法を使用して、システムディスクを暗号化できます。- 方法1: (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化するECSインスタンスを作成するときに、[ディスク暗号化] を選択し、[ストレージ] セクションでシステムディスクを暗号化するキーを選択します。 次の表に示す制限は、インスタンスの作成中にインスタンスのシステムディスクを暗号化する場合に適用されます。
項目 説明 インスタンスファミリー インスタンスのインスタンスファミリーは、ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、またはecs.ebmhfg5にすることはできません。 詳細については、「インスタンスファミリーの概要」をご参照ください。 イメージ インスタンスのイメージは、共有イメージまたはAlibaba Cloud Marketplaceイメージではなく、パブリックイメージまたはカスタムイメージである必要があります。 ディスクカテゴリ ディスクはESSD (enhanced SSD) である。 カスタムCMK 中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択できません。 - 方法2: カスタムイメージをコピーするときに暗号化されたシステムディスクを作成するカスタムイメージをコピーするときは、[コピーして暗号化] を選択し、カスタムイメージコピーを暗号化するキーを選択します。 暗号化されたカスタムイメージコピーからインスタンスを作成すると、インスタンスのシステムディスクとデータディスクが自動的に暗号化されます。 次の図は、コピーと暗号化機能を使用して暗号化されたシステムディスクを作成する方法を示しています。 コピーと暗号化機能を使用すると、カスタムイメージをコピーするときにイメージコピーを暗号化できます。
システムディスクを暗号化するシナリオ
インスタンス作成時に暗号化されたシステムディスク | カスタムイメージの暗号化 | システムディスク暗号化 |
任意 | 任意 | 任意 |
はい (キーAを使用) 詳細については、このトピックの「 (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する」をご参照ください。 | 任意 | はい (キーAを使用) |
任意 | はい (キーBを使用) 詳細については、このトピックの「カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する」をご参照ください。 | はい (キーBを使用) |
はい (キーAを使用) 詳細については、このトピックの「 (推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する」をご参照ください。 | はい (キーBを使用) 詳細については、このトピックの「カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する」をご参照ください。 | はい (キーAを使用) |
(推奨) インスタンスの作成時にインスタンスのシステムディスクを暗号化する
[ディスク暗号化] を選択し、インスタンスの作成時にインスタンスのシステムディスクを暗号化するキーを選択できます。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーの左上隅で、リージョンを選択します。
- [インスタンス] ページで、[インスタンスの作成] をクリックします。
- [基本構成] ステップで、次の操作を実行します。 説明 この手順では、インスタンスの作成時にシステムディスクの暗号化設定を構成する方法について説明します。 その他のインスタンス設定については、「ウィザードを使用したインスタンスの作成」をご参照ください。
- [リージョン] セクションで適切なリージョンとゾーンを選択し、[インスタンスタイプ] セクションでインスタンスタイプを選択します。
- イメージセクションでパブリックイメージまたはカスタムイメージを選択します。
- Enhanced SSD (ESSD) を選択し、ストレージセクションでシステムディスクの容量を指定します。
- [ディスク暗号化] を選択し、[ストレージ] セクションのドロップダウンリストからキーを選択します。 デフォルトでは、ディスクのディスク暗号化を選択した場合、Alibaba CloudはデフォルトサービスCMKを暗号化キーとして使用します。 KMSで作成したCMKをディスクの暗号化キーとして指定することもできます。 暗号化キーとしてカスタムCMKを使用することを推奨します。 CMKの作成方法については、「CMKの作成」をご参照ください。説明 現在、中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、または韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択することはできません。ディスクが暗号化されると、ディスクの暗号化に使用されるKMSキーにタグが自動的に追加されます。 タグのキーは
acs:ecs:disk-encryption
で、タグの値はtrue
です。 KMSコンソールにログインし、KMSキーのIDをクリックしてタグを表示します。
カスタムイメージをコピーするときに暗号化されたシステムディスクを作成する
同じリージョン内または異なるリージョン間でカスタムイメージをコピーする場合、[コピーと暗号化] を選択してカスタムイメージコピーを暗号化できます。 このようにして、暗号化されたカスタムイメージコピーから作成されたシステムディスクとデータディスク (存在する場合) は自動的に暗号化されます。
カスタムイメージの暗号化
ECSコンソールを使用するか、CopyImage操作を呼び出して、カスタムイメージを暗号化できます。
- ECSコンソールでイメージをコピーするときにカスタムイメージを暗号化する
このセクションでは、ECSコンソールで既存のカスタムイメージをコピーし、イメージコピーを暗号化する方法について説明します。 次に、暗号化されたイメージコピーから暗号化されたシステムディスクを作成できます。 使用できるカスタムイメージがない場合は、カスタムイメージを作成します。 詳細については、「スナップショットからカスタムイメージを作成する」および「インスタンスからカスタムイメージを作成する」をご参照ください。
- ECS コンソールにログインします。
- 左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーの左側で、リージョンを選択します。
- [イメージ] ページで、[カスタムイメージ] タブをクリックします。
- コピーするカスタムイメージを見つけて、[操作] 列の [イメージのコピー] をクリックします。
- [イメージのコピー] ダイアログボックスで、コピーモードを [コピーして暗号化] に設定し、コピー先のリージョンを選択し、暗号化キーを選択します。 デフォルトでは、コピーと暗号化を選択すると、Alibaba CloudはデフォルトサービスCMKを暗号化キーとして使用します。 KMSで作成したCMKを、イメージコピーの暗号化に使用する暗号化キーとして指定することもできます。 暗号化キーとしてカスタムCMKを使用することを推奨します。 CMKの作成方法については、「CMKの作成」をご参照ください。説明 初めて暗号化キーを選択したときに、[権限付与に移動] をクリックし、画面上のヒントに従って
AliyunECSDiskEncryptDefaultRole
ロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 この手順では、カスタムイメージをコピーするときに暗号化設定を構成する方法についてのみ説明します。 その他の設定については、「カスタムイメージのコピー」をご参照ください。 - [OK] をクリックします。
- CopyImage操作を呼び出してカスタムイメージを暗号化する次の例では、Alibaba Cloud CLIを使用してCopyImage操作を呼び出し、KMSKeyIdを指定してカスタムイメージをコピーし、イメージコピーを暗号化します。 次に、暗号化されたイメージコピーから暗号化されたシステムディスクを作成できます。
aliyun ecs CopyImage -- RegionId cn-hongkong \ -- ImageId m-bp155shrycg3s0 ****** -- DestinationRegionId cn-深セン \ -- 暗号化されたtrue -- KMSKeyId e522b26d-abf6-4e0d-b5da-04b7 ****** 3c \ -- Tag.N. キーEcsDocumentation
暗号化されたカスタムイメージを使用したECSインスタンスの作成
暗号化されたカスタムイメージを使用してインスタンスを作成すると、インスタンスのシステムディスクとデータディスクは自動的に暗号化されます。 システムディスクとデータディスクは、カスタムイメージと同じ暗号化キーを使用します。 ECSインスタンスの作成方法については、「ウィザードを使用したインスタンスの作成」をご参照ください。
システムディスクの暗号化状態の変更
- 暗号化されていないカスタムイメージをコピーするときにCMKを選択しない場合、イメージコピーから作成されたシステムディスクは暗号化されません。
- 暗号化されていないカスタムイメージをコピーするときにCMKを選択した場合、イメージコピーは暗号化されます。 このCMKを使用して、イメージコピーから作成されたインスタンスにアクセスする必要があります。
- 暗号化されたイメージをコピーするときにCMKを選択しない場合、イメージコピーはコピーされたイメージと同じ暗号化キーを使用して暗号化されます。 イメージコピーから作成されたインスタンスにアクセスするには、コピーしたイメージの暗号化キーを使用する必要があります。
- 暗号化されたイメージをコピーするときに新しいCMKを選択した場合、イメージコピーは新しいCMKを使用して暗号化されます。 イメージコピーから作成されたインスタンスにアクセスするには、新しいCMKを使用する必要があります。