您可以按地區開啟Block Storage帳號級預設加密功能。開啟後,該地區下所有建立雲端硬碟、複製快照、複製鏡像均預設強制加密,無需再單獨指定加密參數,簡化參數設定過程,提升使用者體驗。同時企業賬戶或安全人員開啟帳號級預設加密,可以確保營運以及資源建立人員建立的雲端硬碟均預設符合安全合規,實現加密資源統一管理。
使用限制
Block Storage帳號級預設加密功能有如下使用限制:
該功能僅對部分使用者開放,如需使用,請提交工單申請。
RAM使用者(子帳號)設定Block Storage帳號級預設加密時需阿里雲帳號(主帳號)賦予其系統許可權AliyunECSFullAccess,具體的授權操作請參見為RAM使用者授權。
開啟Block Storage帳號級預設加密前,需先開通KMS服務。具體操作,請參見購買和啟用KMS執行個體。
開啟Block Storage帳號級預設加密後:
僅對新購雲端硬碟生效,對存量雲端硬碟沒有影響。
不支援建立非加密雲端硬碟、快照普通複製、鏡像普通複製。
不支援從非加密快照、非加密鏡像建立加密的SSD雲端硬碟、高效雲端硬碟或普通雲端硬碟。
設定Block Storage帳號級預設加密
開啟Block Storage帳號級預設加密
Block Storage帳號級預設加密功能需要按地區進行設定。當某個地區開啟Block Storage帳號級預設加密後,在該地區下建立雲端硬碟、複製快照、複製鏡像均預設強制加密。
控制台方式
API方式
通過調用API介面EnableDiskEncryptionByDefault開啟Block Storage帳號級預設加密。
關閉Block Storage帳號級預設加密
後續您可以根據需要按地區關閉Block Storage帳號級預設加密。關閉Block Storage帳號級預設加密功能後,如果您仍有雲端硬碟加密需求,可以在建立雲端硬碟過程中手動選擇加密。具體操作,請參見如何加密雲端硬碟。
控制台方式
登入ECS管理主控台。
在概覽頁面右側的常用功能地區,單擊加密設定。
在目標地區所在行單擊
表徵圖,關閉該地區的預設加密功能。
API方式
通過調用API介面DisableDiskEncryptionByDefault關閉目標地區的預設加密功能。
加密結果
您可以通過以下兩種方式對雲端硬碟、快照、鏡像進行加密:
在建立雲端硬碟、快照、鏡像時指定加密以及加密金鑰。
開啟EBS帳號級預設加密後,建立雲端硬碟、快照式複寫、鏡像複製時自動使用配置的預設密鑰進行加密,如果您同時指定了加密金鑰,則優先使用指定的密鑰進行加密。
說明當雲端硬碟、快照和鏡像同時設定了多個密鑰時,最終加密金鑰以優先順序高的值為準。優先順序:指定密鑰 > 快照密鑰(基於快照建立雲端硬碟或複製快照)> 配置的預設密鑰 > 服務密鑰(alias/acs/ecs)。
雲端硬碟加密結果
是否指定加密 | 雲端硬碟來源 | 未開啟Block Storage帳號級預設加密 | 開啟Block Storage帳號級預設加密 | ||
預設值(未指定密鑰) | 自訂(指定密鑰) | 預設值(未指定密鑰) | 自訂(指定密鑰) | ||
否 (建立雲端硬碟未選擇加密) | 新(空)盤 | 未加密 | 無此情境 | 配置的預設祕密金鑰加密 | 無此情境 |
基於非加密快照/鏡像 | 未加密 | 配置的預設祕密金鑰加密 | |||
基於加密快照/鏡像 | 按快照/鏡像的祕密金鑰加密 | 按快照/鏡像的祕密金鑰加密 | |||
基於共用的非加密快照/鏡像 | 未加密 | 配置的預設祕密金鑰加密 | |||
基於共用的加密快照/鏡像 (僅BYOK密鑰的加密快照支援共用且共用時必須更換密鑰) | 服務祕密金鑰加密 | 配置的預設祕密金鑰加密 | |||
是 (建立雲端硬碟選擇加密) | 新(空)盤 | 服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 |
基於非加密快照/鏡像 | 服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 | |
基於加密快照/鏡像 | 按快照的祕密金鑰加密 | 指定祕密金鑰加密 | 按快照的祕密金鑰加密 | 指定祕密金鑰加密 | |
基於共用的非加密快照/鏡像 | 服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 | |
基於共用的加密快照/鏡像 (僅BYOK密鑰的加密快照支援共用且共用時必須更換密鑰) | 服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 | |
快照加密結果
是否指定加密 | 快照來源 | 未開啟Block Storage帳號級預設加密 | 開啟Block Storage帳號級預設加密 | ||
預設值(未指定密鑰) | 自訂(指定密鑰) | 預設值(未指定密鑰) | 自訂(指定密鑰) | ||
不涉及 (建立快照時) | 非加密雲端硬碟建立 | 未加密 | 無此情境 | 未加密 | 無此情境 |
加密雲端硬碟建立 | 按雲端硬碟的祕密金鑰加密 | 按雲端硬碟的祕密金鑰加密 | |||
否 (複製快照選擇普通複製) | 非加密快照跨地區複製 (普通複製僅支援跨地區複製) | 未加密 | 目標地區配置的預設祕密金鑰加密 | ||
加密快照跨地區複製 (普通複製僅支援跨地區複製) | 無此情境 (加密快照僅支援加密複製) | 無此情境 (加密快照僅支援加密複製) | |||
共用的非加密快照跨地區複製 | 未加密 | 目標地區配置的預設祕密金鑰加密 | |||
共用的加密快照跨地區複製 | 無此情境 (加密快照僅支援加密複製) | 無此情境 (加密快照僅支援加密複製) | |||
是 (複製快照選擇加密複製) | 同地區加密/非加密/共用加密/共用非加密快照,加密複製 | 當前地區的服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 |
跨地區加密/非加密/共用加密/共用非加密快照,加密複製 | 目標地區的服務祕密金鑰加密 | 目標地區配置的預設祕密金鑰加密 | |||
鏡像加密結果
是否指定加密 | 鏡像來源 | 未開啟Block Storage帳號級預設加密 | 開啟Block Storage帳號級預設加密 | ||
預設值(未指定密鑰) | 自訂(指定密鑰) | 預設值(未指定密鑰) | 自訂(指定密鑰) | ||
不涉及 (建立鏡像時) | 包含非加密雲端硬碟的ECS執行個體建立 | 未加密 | 無此情境 | 未加密 | 無此情境 |
包含加密雲端硬碟的ECS執行個體建立 | 按雲端硬碟的祕密金鑰加密 | 按雲端硬碟的祕密金鑰加密 | |||
否 (複製鏡像選擇普通複製) | 非加密鏡像跨地區複製 (普通複製僅支援跨地區複製) | 未加密 | 目標地區配置的預設祕密金鑰加密 | ||
加密鏡像跨地區複製 (普通複製僅支援跨地區複製) | 無此情境 (加密鏡像僅支援加密複製) | 無此情境 (加密鏡像僅支援加密複製) | |||
共用的非加密鏡像跨地區複製 | 未加密 | 目標地區配置的預設祕密金鑰加密 | |||
共用的加密鏡像跨地區複製 | 無此情境 (加密鏡像僅支援加密複製) | 無此情境 (加密快照僅支援加密複製) | |||
是 (複製鏡像選擇加密複製) | 同地區加密/非加密/共用加密/共用非加密鏡像,加密複製 | 當前地區的服務祕密金鑰加密 | 指定祕密金鑰加密 | 配置的預設祕密金鑰加密 | 指定祕密金鑰加密 |
跨地區加密/非加密/共用加密/共用非加密鏡像,加密複製 | 目標地區的服務祕密金鑰加密 | 目標地區配置的預設祕密金鑰加密 | |||
相關文檔
您可以通過API介面完成以下操作:
修改Block Storage帳號級預設加密的密鑰:ModifyDiskDefaultKMSKeyId或ResetDiskDefaultKMSKeyId。
查詢Block Storage帳號級預設加密使用的密鑰:DescribeDiskDefaultKMSKeyId。
查詢Block Storage帳號級預設加密的服務狀態:DescribeDiskEncryptionByDefaultStatus。