Elastic Compute Service：ECS 雲端碟加密

什麼是 ECS 雲端碟加密

當您的業務因為業務需要或者認證需要，要求您對您儲存在雲端碟上的資料進行加密，阿里雲 ECS 雲端碟加密功能能對雲端碟加密，為您提供了一種簡單的安全的加密手段，能夠對您新建立的雲端碟進行加密處理。您無需構建、維護和保護自己的密鑰管理基礎設施，您也無需更改任何已有的應用程式和運維流程，無需做額外的加解密操作，雲端碟加密功能對於您的業務是無感的。

加密解密的過程對於雲端碟的效能幾乎沒有衰減。關於效能測試方式，請參見 區塊存放裝置效能。

在建立加密雲端碟並將其掛載到 ECS 執行個體後，將對以下類型的資料進行加密：

• 雲端碟中的資料
• 雲端碟和執行個體間傳輸的資料（執行個體作業系統內資料不再加密）
• 加密雲端碟建立的所有快照（加密快照）

加密解密是在 ECS 執行個體所在的宿主機上進行的，對從 ECS 執行個體傳輸到雲端碟的資料進行加密。

ECS 雲端碟加密支援所有在售雲端碟（普通雲端碟、高效雲端碟、SSD 雲端碟和 ESSD 雲端碟）和共用區塊存放裝置（高效共用區塊存放裝置和SSD共用區塊存放裝置）。

ECS 雲端碟加密支援所有在售的執行個體規格。所有地域都支援雲端碟的加密。

ECS 雲端碟加密的依賴

ECS 雲端碟加密功能依賴於同一地域的 金鑰管理服務（Key Management Service，KMS)，但是您無需到金鑰管理服務控制台做額外的操作，除非您有單獨的 KMS 操作需求。

首次使用 ECS 雲端碟加密功能（在 ECS 執行個體售賣頁或者獨立雲端碟售賣頁）時，需要根據頁面提示授權開通金鑰管理服務（KMS），否則將無法購買帶有加密雲端碟的執行個體或者加密的獨立雲端碟。

如果通過 API 或者 CLI 使用 ECS 雲端碟加密功能，比如 CreateInstance、CreateDisk，您需要先在阿里雲網站上開通金鑰管理服務。

當您在一個地域第一次使用加密盤時，ECS 系統會為您在金鑰管理服務（KMS）中的使用地域自動建立一個專為 ECS 使用的使用者主要金鑰（Customer Master Key，CMK），這個使用者主要金鑰，您將不能刪除，您可以在金鑰管理服務控制台上查詢到該使用者主要金鑰。

ECS 雲端碟加密的密鑰管理

ECS 雲端碟加密功能會為您處理密鑰管理。每個新建立雲端碟都使用一個唯一的 256 位密鑰（來自於使用者主要金鑰）加密。此雲端碟的所有快照以及從這些快照建立的後續雲端碟也關聯該密鑰。這些密鑰受阿里雲密鑰管理基礎設施的保護（由金鑰管理服務提供），這將實施強邏輯和物理安全控制以防止未經授權的訪問。您的資料和關聯的密鑰使用行業標準的 AES-256 演算法進行加密。

您無法更改與已經加密了的雲端碟和快照關聯的使用者主要金鑰（CMK）。

阿里雲整體密鑰管理基礎設施符合(NIST) 800-57 中的建議，並使用了符合 (FIPS) 140-2 標準的密碼演算法。

每個阿里雲 ECS 帳號在每個地域都具有一個唯一的使用者主要金鑰（CMK），該密鑰與資料分開，儲存在一個受嚴格的物理和邏輯安全控制保護的系統上。每個加密盤及其後續的快照都使用雲端碟粒度唯一的加密金鑰（從該使用者該地域的使用者主要金鑰建立而來），會被該地域的使用者主要金鑰（CMK）加密。雲端碟的加密金鑰僅在您的 ECS 執行個體所在的宿主機的記憶體中使用，永遠不會以明文形式儲存在任何永久介質（如雲端碟）上。

費用

ECS 不對雲端碟加密功能收取額外的費用。

ECS 為您在每個地域建立的使用者主要金鑰（CMK）屬於服務密鑰，不收取額外費用，也不佔用您在每個地域的主要金鑰數量限制。

	说明
	您對雲端碟的任何讀寫操作（例如 mount/umount、分區、格式化等）都不會產生費用。凡是涉及雲端碟本身的管理操作（見下面列表），無論是通過 ECS 管理主控台還是通過 API，均會以 API 的形式使用到金鑰管理服務（KMS），將會記入到您在該地域的 KMS 服務 API 呼叫次數。

對加密雲端碟的管理操作包括：

• 建立加密盤（CreateInstance 或 CreateDisk）
• 掛載（AttachDisk)
• 卸載（DetachDisk）
• 建立快照（CreateSnapshot）
• 回滾雲端碟（ResetDisk）
• 重新初始化雲端碟（ReInitDisk）

如何建立加密的雲端碟

目前，ECS 雲端碟加密功能只支援雲端碟。您可以通過不同渠道建立加密雲端碟：

• 通過購買執行個體頁面：

  • 勾選加密選項，建立加密的空盤。
  • 選擇加密快照來建立雲端碟。

• 通過 API 或 CLI：

  • 指定參數 DataDisk.n.Encrypted（CreateInstance）或者 Encrypted（CreateDisk）為 true。
  • 在 CreateInstance 或 CreateDisk 中，指定加密快照的 SnapshotId。

資料加密狀態的轉換

已經存在的 非加密盤，不能直接轉換成 加密盤。同樣的，已經存在的 加密盤，不能直接轉換成 非加密盤。

已經存在的 非加密盤產生的快照，不能直接轉換成 加密快照。同樣的，已經存在的 加密盤產生的快照，不能直接轉換成 非加密快照。

所以，如果您需要對現有資料 非加密狀態 轉換為 加密狀態，阿里雲推薦用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令將資料從 非加密盤 上複製到（新建立的） 加密盤 上。

如果您需要對現有資料 加密狀態 轉換為 非加密狀態，則用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令將資料從 加密盤 上複製到（新建立的） 非加密盤 上。

限制

ECS 雲端碟加密有如下限制：

• 只能加密雲端碟，不能加密本地碟。
• 只能加密資料盤，不能加密系統盤。
• 已經存在的非加密盤，不能直接轉換成加密盤。
• 已經加密的雲端碟，也不能轉換為非加密雲端碟。
• 已經存在的非加密盤產生的快照，不能直接轉換成加密快照。
• 加密快照不能轉換為非加密快照。
• 不能共用帶有加密快照的鏡像。
• 不能跨地域複製帶有加密快照的鏡像。
• 不能匯出帶有加密快照的鏡像。
• 每個地域每個使用者無法自己選擇使用者主要金鑰 CMK，由系統為您生成。
• 每個地域 ECS 系統建立的使用者主要金鑰（CMK），使用者不能刪除，但不收費用。
• 不支援在雲端碟加密後更換該雲端碟用於加解密的關聯的使用者主要金鑰。