すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:ECS データ暗号化の適用

最終更新日:Nov 09, 2025

データ暗号化は、データセキュリティと規制コンプライアンスの要件を満たすのに役立ちます。システムディスク、データディスク、およびイメージを暗号化して、ECS 上のデータを保護できます。その後、これらの暗号化されたリソースから ECS インスタンスを作成して、データのプライバシーとセキュリティを確保できます。このトピックでは、ディスク、スナップショット、およびイメージを暗号化するための条件と手順について説明します。

前提条件

Key Management Service (KMS) インスタンスが作成され、有効化されている必要があります。 詳細については、「KMS インスタンスの購入と有効化」をご参照ください。

背景情報

デフォルトでは、ECS ディスク暗号化機能はサービスキーを使用してユーザーデータを暗号化します。 カスタマーマスターキー (CMK) を使用することもできます。 ディスク暗号化のメカニズムでは、エンベロープ暗号化が使用されます。 各ディスクには、対応する CMK とデータキー (DK) があり、データを暗号化します。 詳細については、「暗号化されたディスク」をご参照ください。

注意事項

キーを使用して暗号化する場合は、次の点に注意してください。

キータイプ

注意事項

サービスキー

サービスキーは、各リージョンの各ユーザーに対して一意です。 キーの削除や無効化はサポートされていません。

Bring-Your-Own-Key (BYOK)

  • ECS コンソールでディスクを暗号化するために別のカスタマーマスターキーを初めて選択するときは、[権限付与へ] をクリックします。 ページの指示に従って、AliyunECSDiskEncryptDefaultRole ロールを ECS に付与します。 これにより、ECS は KMS リソースにアクセスできるようになります。

  • KMS コンソールでキーを作成するときは、Aliyun_AES_256 または Aliyun_SM4 キータイプを選択します。 ECS は、暗号化されたディスクを作成するための他のキータイプをサポートしていません。

  • BYOK キーを削除または無効にする前に、関連付けられているディスクをアンインストールまたは置き換えたことを確認してください。 これにより、データの損失やインスタンスの起動の失敗を防ぐことができます。 キーに関連付けられているディスクに関する情報をクエリするには、DescribeDisks API をご参照ください。

    BYOK キーは削除後に回復できません。 そのキーで暗号化されたコンテンツとデータキーは復号できません。 キーが無効になる前に、キーを無効にするか、キーがクラウドリソースに関連付けられているかどうかを確認してください。 これにより、キーが失われた場合にデータが回復不能になるのを防ぎます。

    警告

    作成した BYOK キーは削除または無効にできます。 キーが無効になると、関連付けられている暗号化されたディスク、暗号化されたイメージ、および暗号化されたスナップショット上のデータは回復できません。

    免責事項: キーを無効にして、関連付けられているクラウドリソース上のデータが回復不能になった場合に発生するデータ損失については、お客様が責任を負うものとします。

システムディスクの暗号化

システムディスクにはオペレーティングシステムが含まれており、ECS インスタンスの作成時にのみ作成できます。 そのライフサイクルは、アタッチされている ECS インスタンスと同じです。 インスタンスの作成時にシステムディスクを暗号化できます。

条件

制限事項

説明

インスタンスファミリー

ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、および ecs.ebmhfg5 を除きます。 詳細については、「インスタンスファミリー」をご参照ください。

ディスクカテゴリ

ESSD シリーズのディスク (ESSD PL0/PL1/PL2/PL3、ESSD Entry、ESSD AutoPL、およびゾーン冗長ストレージ付き ESSD) のみが暗号化可能です。

手順

システムディスクを暗号化する方法の詳細については、「暗号化されたディスクの作成」をご参照ください。

データディスクの暗号化

データディスクを暗号化すると、ディスク上の静的データが暗号化されます。 インスタンスの作成時またはスタンドアロンディスクの作成時にデータディスクを暗号化できます。

条件

[スナップショットからディスクを作成] を選択してデータディスクを作成する場合、[暗号化] オプションを選択するには、次の条件を満たす必要があります。

制限事項

説明

インスタンスファミリー

ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4、および ecs.ebmhfg5 を除きます。 詳細については、「インスタンスファミリー」をご参照ください。

ディスクカテゴリ

ESSD シリーズのディスク (ESSD PL0/PL1/PL2/PL3、ESSD Entry、ESSD AutoPL、およびゾーン冗長ストレージ付き ESSD) のみが暗号化可能です。

手順

データディスクを暗号化する方法の詳細については、「暗号化されたディスクの作成」をご参照ください。

スナップショットの暗号化

ディスクが暗号化されている場合、そこから作成されたスナップショットも暗号化されます。

手順

スナップショットの作成方法の詳細については、「スナップショットの作成」をご参照ください。

暗号化されたイメージのコピー

イメージをコピーして、リージョン間で ECS インスタンスをデプロイできます。 また、イメージをコピーして、同じリージョン内またはリージョン間で暗号化ステータスを変更することもできます。 イメージをコピーして暗号化した後、暗号化されたコピーを使用して、同じ環境を持つ ECS インスタンスを迅速に作成できます。

条件

制限事項

説明

リージョンの制限

Alibaba Cloud アカウントを使用している場合、イメージを複数のリージョンにコピーできます。 最大 5 つのターゲットリージョンを選択できます。

イメージタイプ

暗号化されたイメージまたは暗号化されていないイメージ。

手順

暗号化されたイメージをコピーする方法の詳細については、「カスタムイメージのコピー」をご参照ください。

暗号化されたイメージの共有

イメージを共有して、異なる Alibaba Cloud アカウント間で ECS インスタンスをデプロイできます。 暗号化されたディスクがアタッチされた ECS インスタンスからカスタムイメージが作成された場合、そのイメージも暗号化されます。 この暗号化されたカスタムイメージを他の Alibaba Cloud アカウントと共有できます。 受信者は、共有されたイメージを使用して、同じ環境を持つ ECS インスタンスを迅速に作成できます。

条件

暗号化されたイメージの共有は、次のリージョンでのみサポートされています。

  • 中国 (北京)

  • 中国 (上海)

  • 中国 (香港)

  • シンガポール

  • インドネシア (ジャカルタ)

イメージを共有するための条件の詳細については、「カスタムイメージの共有の適用範囲」をご参照ください。

手順

暗号化されたカスタムイメージを共有する方法の詳細については、「カスタムイメージの共有」をご参照ください。