Elastic Compute Service (ECS) インスタンスを作成するとき、またはカスタムイメージをコピーするときに、システムディスクを暗号化できます。 暗号化されたシステムディスク上のすべてのデータが暗号化され、データのセキュリティが向上します。
暗号化方法
次のいずれかの方法を使用して、システムディスクを暗号化できます。
方法2: カスタムイメージをコピーして暗号化されたシステムディスクを作成
カスタムイメージをコピーするときは、[コピーして暗号化] を選択してカスタムイメージを暗号化し、暗号化されたカスタムイメージを使用してECSインスタンスを作成します。 このように、システムディスクとデータディスクはデフォルトで暗号化されたディスクです。 次の図は、コピープロセスで暗号化されたコピーされたカスタムイメージに基づいて暗号化されたシステムディスクを作成する方法を示しています。
この方法で作成されたシステムディスクの暗号化ステータスは、カスタムイメージをコピーするときに暗号化が有効になっているかどうか、およびカスタムイメージを使用してECSインスタンスを作成するときにシステムディスクが暗号化されているかどうかによって決まります。 次の表に詳細を示します。
カスタムイメージをコピーするときに暗号化を有効にする
カスタムイメージを使用してECSインスタンスを作成するときのシステムディスクの暗号化
ECSインスタンスのシステムディスクが暗号化されているかどうか、および暗号化に使用されているキー
任意
任意
暗号化されていない
任意
はい、キーAが暗号化に使用されます。
詳細については、このトピックの「ECSインスタンスの作成時にシステムディスクを暗号化する」をご参照ください。
暗号化され、鍵Aが暗号化に使用される。
はい、キーBが暗号化に使用されます。
詳細については、このトピックの「カスタムイメージをコピーして暗号化されたシステムディスクを作成する」をご参照ください。
任意
暗号化され、鍵Bが暗号化に使用される。
はい、キーBが暗号化に使用されます。
詳細については、このトピックの「カスタムイメージをコピーして暗号化されたシステムディスクを作成する」をご参照ください。
はい、キーAが暗号化に使用されます。
詳細については、このトピックの「ECSインスタンスの作成時にシステムディスクを暗号化する」をご参照ください。
暗号化され、鍵Aが暗号化に使用される。
前提条件
Key Management Service (KMS) インスタンスが作成され、有効になります。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
インスタンスの作成時にインスタンスのシステムディスクを暗号化する
[暗号化] を選択し、[ストレージ] セクションでキーを選択して、インスタンスの作成時にインスタンスのシステムディスクを暗号化できます。 このセクションでは、インスタンスの作成時にディスクの暗号化設定を構成する方法についてのみ説明します。 インスタンスのその他の設定については、[カスタム起動] タブでのインスタンスの作成をご参照ください。
制限事項
項目 | 説明 |
インスタンスファミリー | インスタンスのインスタンスファミリーは、ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、またはecs.ebmhfg5にすることはできません。 詳細については、「インスタンスファミリーの概要」をご参照ください。 |
ディスクカテゴリ | 拡張SSD (ESSD) 、ESSD AutoPLディスク、およびESSDエントリディスクのみがサポートされています。 |
手順
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
On theインスタンスページをクリックします。インスタンスの作成.
では、ストレージセクションで、システムディスクを暗号化します。
拡張SSD (ESSD) を選択し、ストレージセクションでシステムディスクの容量を指定します。
選択暗号化ドロップダウンリストからキーを選択します。
[デフォルトサービスCMK] を選択するか、KMSで作成されたカスタム顧客マスターキー (CMK) を選択します。
説明ドロップダウンリストで、[権限付与に移動] をクリックし、画面の指示に従って
AliyunECSDiskEncryptDefaultRole
ロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 詳細については、「インスタンスRAMロールを使用してリソースへのアクセスを制御する」をご参照ください。中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、タイ (バンコク) 、韓国 (ソウル) リージョンでは、カスタムCMKを暗号化キーとして選択できません。
カスタムイメージをコピーして暗号化されたシステムディスクを作成する
リージョン内またはリージョン間でカスタムイメージをコピーする場合、イメージを暗号化できます。 その後、暗号化されたカスタムイメージを使用してECSインスタンスを作成すると、インスタンスのシステムディスクとデータディスクは暗号化されたディスクになります。 暗号化は、ECSコンソールでイメージをコピーするとき、またはCopyImage操作を呼び出して実行できます。
ECSコンソールの使用
このセクションでは、ECSコンソールで既存のカスタムイメージをコピーし、イメージコピーを暗号化する方法について説明します。 次に、暗号化されたイメージコピーから暗号化されたシステムディスクを作成できます。 使用できるカスタムイメージがない場合は、カスタムイメージを作成します。 詳細については、「スナップショットからカスタムイメージを作成する」または「インスタンスからカスタムイメージを作成する」をご参照ください。
ECS コンソールにログインします。
左側のナビゲーションウィンドウで、
を選択します。上部のナビゲーションバーの左上隅で、インスタンスが存在するリージョンを選択します。
[イメージ] ページで、[カスタムイメージ] タブをクリックします。
コピーするカスタムイメージを見つけて、[操作] 列の [イメージのコピー] をクリックします。
[イメージのコピー] ダイアログボックスで、コピーモードを [コピーして暗号化] に設定し、コピー先のリージョンを選択し、暗号化キーを選択します。
説明この手順では、カスタムイメージをコピーするときに暗号化設定を構成する方法についてのみ説明します。 その他の設定については、「カスタムイメージのコピー」をご参照ください。
デフォルトサービスCMKを選択するか、KMSで作成されたカスタム顧客マスターキー (CMK) を選択できます。
説明ドロップダウンリストで、[権限付与に移動] をクリックし、画面の指示に従って
AliyunECSDiskEncryptDefaultRole
ロールをアタッチして、ECSがKMSリソースにアクセスできるようにします。 詳細については、「インスタンスRAMロールを使用してリソースへのアクセスを制御する」をご参照ください。[確認]をクリックします。
API操作の呼び出し
カスタムイメージを暗号化するには、CopyImage操作を呼び出してコピーします。
この例では、Alibaba Cloud CLIを使用してCopyImage操作を呼び出し、KMSKeyIdパラメーターは後でシステムディスクを暗号化するように設定されています。
aliyun ecs CopyImage -- RegionId cn-hongkong \
-- ImageId m-bp155shrycg3s0 ****** -- DestinationRegionId cn-深セン \
-- 暗号化されたtrue -- KMSKeyId e522b26d-abf6-4e0d-b5da-04b7 ****** 3c \
-- Tag.N. キーEcsDocumentation
参考資料
暗号化されたカスタムイメージを使用してECSインスタンスを作成すると、インスタンスのシステムディスクとデータディスクは暗号化されたディスクになります。 カスタムイメージからインスタンスを作成する方法については、「カスタムイメージを使用したECSインスタンスの作成」をご参照ください。
暗号化されたカスタムディスクを使用して、ECSインスタンスのシステムディスクを変更することもできます。 新しいシステムディスクは、デフォルトで暗号化されたディスクになります。 詳細については、「インスタンスのオペレーティングシステムの置き換え」をご参照ください。