Elastic Compute Service (ECS) のデータディスクを暗号化して、ディスクに既に保存されているデータや送信中のデータなど、データを保護できます。 セキュリティとコンプライアンスの要件を満たすのに役立ちます。
前提条件
Key Management Service (KMS) インスタンスが購入され、有効になっています。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
手順
ECSインスタンスまたはデータディスクを作成するときに、データディスクを暗号化できます。 既存の暗号化データディスクは暗号化解除できず、暗号化されていないデータディスクは暗号化できません。
ECSインスタンスの作成時にデータディスクを暗号化
このセクションでは、インスタンスの作成時にディスクの暗号化設定を構成する方法についてのみ説明します。 インスタンスのその他の設定については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
On theインスタンスページをクリックします。インスタンスの作成.
では、ストレージセクションで、暗号化されたデータディスクを設定します。
クリックデータディスクの追加の右側にデータディスク.
ディスクのカテゴリと容量を指定します。
選択ディスク暗号化ドロップダウンリストからキーを選択します。
[デフォルトサービスCMK] を選択するか、KMSで作成されたカスタム顧客マスターキー (CMK) を選択します。
説明ドロップダウンリストで、[権限付与に移動] をクリックし、画面の指示に従って
AliyunECSDiskEncryptDefaultRoleロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 詳細については、「インスタンスRAMロールを使用してリソースへのアクセスを制御する」をご参照ください。中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択できません。
[スナップショットから作成] をクリックしてスナップショットからディスクを作成する場合、暗号化機能には次の制限があります。
項目
説明
インスタンスファミリー
インスタンスのインスタンスファミリーは、ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、またはecs.ebmhfg5にすることはできません。 詳細については、「インスタンスファミリーの概要」をご参照ください。
ディスクカテゴリ
拡張SSD (ESSD) 、ESSD AutoPLディスク、およびESSDエントリディスクのみがサポートされています。
ディスクの作成時にデータディスクを暗号化
このセクションでは、ディスクの作成時にディスクの暗号化設定を構成する方法についてのみ説明します。 ディスクのその他の構成については、「ディスクの作成」をご参照ください。
の左上隅にディスクページをクリックします。ディスクの作成.
では、ストレージセクションで、ディスクのカテゴリと容量を指定します。
選択ディスク暗号化ドロップダウンリストからキーを選択します。
[デフォルトサービスCMK] を選択するか、KMSで作成されたカスタム顧客マスターキー (CMK) を選択します。
説明ドロップダウンリストで、[権限付与に移動] をクリックし、画面の指示に従って
AliyunECSDiskEncryptDefaultRoleロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 詳細については、「インスタンスRAMロールを使用してリソースへのアクセスを制御する」をご参照ください。中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択できません。
[スナップショットから作成] をクリックしてスナップショットからディスクを作成する場合、暗号化機能には次の制限があります。
項目
説明
インスタンスファミリー
インスタンスのインスタンスファミリーは、ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、またはecs.ebmhfg5にすることはできません。 詳細については、「インスタンスファミリーの概要」をご参照ください。
ディスクカテゴリ
拡張SSD (ESSD) 、ESSD AutoPLディスク、およびESSDエントリディスクのみがサポートされています。