Elastic Compute Service (ECS) インスタンスの作成中にシステムディスクまたはデータディスクを追加する場合、または独立したデータディスクを作成する場合は、[暗号化] オプションを選択してディスクを暗号化できます。 ECSインスタンスが作成されると、インスタンスオペレーティングシステムのデータは、追加されたディスクが存在するホスト (ECSインスタンスホスト) で自動的に暗号化されます。 ディスク暗号化を使用すると、キー管理インフラストラクチャを確立または維持することなく、データのプライバシー、自律性、およびセキュリティを保護できます。
ローカルディスクは暗号化できません。
概要
ディスクは、業界標準のAES-256暗号化アルゴリズムとキー管理サービス (KMS) を使用して暗号化されます。 ディスク暗号化機能を有効にすると、データはECSインスタンスからディスクに送信されるときに自動的に暗号化され、ディスクからデータが読み取られるときに自動的に復号化されます。 暗号化と復号化は、ECSインスタンスが存在するホストで行われ、ECSインスタンスのパフォーマンスへの影響は最小限です。 ディスク暗号化が無効になっているディスクのパフォーマンスは、ディスク暗号化が有効になっているディスクのパフォーマンスよりも高くなります。 パフォーマンスの低下の程度は、ディスク暗号化が有効になっているディスクの上位層のアプリケーションによって異なります。
次のディスクを暗号化できます。
暗号化されたシステムディスクを使用してECSインスタンスを作成すると、インスタンスのオペレーティングシステムのデータは自動的に暗号化されます。 データは、読み取り時に自動的に復号されます。
システムディスクとして使用する場合、次のカテゴリのディスクを暗号化できます。
ECSインスタンスの作成中に暗号化できるディスク: 拡張SSD (ESSD)
カスタムイメージのコピー時に暗号化できるディスク: ESSD AutoPLディスク、ESSD、標準SSD、ウルトラディスク、およびベーシックディスク
暗号化されたディスクを作成し、そのディスクをデータディスクとしてECSインスタンスにアタッチすると、次の種類のデータが自動的に暗号化されます。 データは、読み取り時に自動的に復号されます。
暗号化されたディスクに保存されている保存データ。
暗号化されたディスクとECSインスタンス間で送信されるデータ (インスタンスオペレーティングシステムのデータを除く) 。
ECSインスタンスからバックエンドストレージクラスターに送信されるデータ。
暗号化されたディスクから作成されたすべてのスナップショット。 スナップショットでは、ディスクと同じ暗号化キーが使用されます。
暗号化されたスナップショットから作成されたすべてのディスク。
データディスクとして使用する場合、次のカテゴリのディスクを暗号化できます。
独立ディスク: ESSD AutoPLディスク、ESSD、標準SSD、ウルトラディスク、およびベーシックディスク
スナップショットから作成されたディスク: ESSD
暗号化キー
デフォルトでは、ディスク暗号化機能はサービスキーを使用してデータを暗号化します。 カスタムキーを作成してデータを暗号化することもできます。 各ディスクに保存されているデータを暗号化するには、顧客マスターキー (CMK) 、データキー (DK) 、およびエンベロープ暗号化メカニズムを使用する必要があります。 エンベロープ暗号化メカニズムでは、CMKは、KMSによって提供されるキー管理インフラストラクチャによって強力な論理的および物理的セキュリティ保護下に置かれます。 Alibaba Cloudサービスは、CMKを使用してDKを生成し、ビジネスデータを暗号化したり、DKの暗号文を復号してビジネスデータを復号したりする権限を持つ必要があります。 DKのプレーンテキストは、ECSインスタンスが存在するホストのメモリでのみ使用されます。 つまり、DK が平文で永続ストレージ媒体に保存されることはありません。
次の表に、ディスクの暗号化に使用できるキーの種類を示します。
Type | 説明 | ソース | シナリオ |
サービスキー、次の図に示すキー ① | KMSを有効化し、リージョンで初めてディスク暗号化を使用するときに、リージョンのECS用にKMSによって作成される専用CMK。 サービスキーのエイリアス名はacs/ecsです。 サービスキーを削除したり無効化したりすることはできません。 | KMSによって提供されるデフォルトのサービスキー。 | サービスキーを使用して、便利で効率的な方法でディスクを暗号化できます。 詳細については、「KMSの概要」をご参照ください。 |
カスタムキー、次の図に示すキー ② | お客様が作成する暗号化キーです。 これらのキーを作成、回転、および無効にする完全な権限があり、これらのキーに対するアクセス制御を定義します。 |
| カスタムキーを使用して、ディスクを柔軟に暗号化し、キーの数を増やすことができます。 詳細については、「KMSの概要」をご参照ください。 |
請求
次の表に、暗号化に関連する機能および操作の課金情報を示します。 アカウントの残高が十分であることをご確認ください。 不足している場合、費用が発生する操作が失敗する可能性があります。
操作 | 課金可能 |
システムディスクとデータディスクを暗号化します。 | いいえ。 |
KMSによって提供されるサービスキーを使用します。 | いいえ。 |
KMSでCMK (BYOKキーを含む) を作成します。 | はい。 詳細については、「KMSの課金」をご参照ください。 |
パーティションのマウント (mount) およびアンマウント (umount) 、パーティションの作成、ファイルシステムのフォーマットなど、ディスクに対する読み取りおよび書き込み操作を実行します。 | いいえ。 |
ディスク管理操作は次のとおりです。
説明 ECSコンソールでディスクに対して操作を実行するか、リージョンでAPI操作を呼び出すと、操作はリージョン内のKMS APIクォータを消費します。 | はい。 詳細については、「KMSの課金」をご参照ください。 |
専用KMSの使用 | はい。 詳細については、「専用KMSの課金」をご参照ください。 |