Elastic Compute Service：加密雲端硬碟

雲端硬碟加解密工作原理

加密雲端硬碟通過兩層密鑰保障資料安全：

• 資料密鑰：用於加密和解密雲端硬碟資料。

• KMS密鑰：由KMS服務保管，用於加密和解密資料密鑰。

建立加密雲端硬碟時，由KMS祕密金鑰加密的資料密鑰會被儲存在雲端硬碟中。執行個體啟動階段，Elastic Compute Service會向KMS服務要求解密資料密鑰，解密後的資料密鑰明文將被載入到記憶體中，用於加解密資料。

建立加密雲端硬碟

1. 建立加密雲端硬碟。

   重要

   加密操作無法復原，雲端硬碟一旦被加密，無法再轉為非加密狀態。

   控制台

   建立雲端硬碟時，可在設定中勾選加密後，下拉式清單選擇KMS密鑰。KMS密鑰分為以下兩種類型。

   • 服務密鑰：由雲產品為 ECS 服務自動建立和管理的密鑰，別名為 alias/acs/ecs。滿足基本的資料加密需求，操作簡便，無需管理密鑰生命週期。

   • 主要金鑰：在 KMS 中自行匯入/建立的擁有完全控制權的密鑰。適用於對資料安全有更高要求，需要自行管理密鑰的輪轉、禁用、刪除等生命週期。

   首次選擇主要金鑰加密時，需要依照介面提示為ECS授權AliyunECSDiskEncryptDefaultRole角色，以允許訪問KMS資源。

   

   API

   • 建立ECS執行個體時加密系統硬碟及資料盤。

     調用API介面RunInstances建立ECS執行個體時，通過設定系統硬碟或資料盤的Encrypted值和KMSKeyId值實現加密。

   • 單獨建立加密資料盤。

     調用API介面CreateDisk建立資料盤時，通過設定Encrypted值和KMSKeyId值實現加密。

2. 後續步驟。

   • 系統硬碟：建立後即可使用，無需額外操作。

   • 資料盤：

     • 隨執行個體建立：

       • Windows：建立後即可使用，無需額外操作。

       • Linux：需要完成初始化後才可使用。

     • 單獨建立：需要將其掛載至ECS執行個體並完成初始化後才可使用。

將非加密雲端硬碟轉換為加密雲端硬碟

已有的非加密雲端硬碟無法直接加密，需要利用加密自訂鏡像或加密快照，通過更換作業系統或建立雲端硬碟間接實現。

• 系統硬碟

  1. 為目標執行個體建立自訂鏡像。

  2. 複製自訂鏡像時選擇加密複製，將非加密鏡像複製為加密鏡像。

  3. 選擇任一方式，間接實現加密系統硬碟。

     • 使用加密鏡像更換原ECS執行個體的作業系統。

     • 使用加密鏡像建立新執行個體。

• 資料盤

  1. 為資料盤建立快照。

  2. 將快照複製為加密快照。

  3. 使用加密快照建立資料盤。

  4. 將建立的加密雲端硬碟掛載至原ECS執行個體。

應用於生產環境

• 禁止隨意刪除或禁用密鑰。

  一旦刪除或禁用密鑰，所有依賴該密鑰的加密資源（如雲端硬碟、快照、鏡像）將無法解密，可能導致資料不可恢複。請在操作前進行密鑰關聯檢測。

  重要

  因使用者主動操作導緻密鑰失效而引起的資料不可恢複損失，由使用者自行承擔。

• 限制RAM使用者僅能建立加密雲端硬碟。

  為滿足特定的安全合規要求，防止因雲端硬碟未加密而導致資料泄露，可為帳號下的所有RAM使用者配置自訂權限原則，限制其只能建立加密雲端硬碟，保護資料的機密性。

• 禁止RAM使用者管理密鑰。

  為防止密鑰被誤刪除或禁用，可僅授予RAM使用者唯讀存取金鑰管理服務（KMS）的許可權：AliyunKMSReadOnlyAccess。

• 大量加密已有系統硬碟

  可使用OOS公用模板ACS-ECS-BulkyEncryptSystemDisk，通過更換作業系統方式，加密多台ECS執行個體的系統硬碟。

費用說明

• 雲端硬碟費用：加密雲端硬碟與非加密雲端硬碟的計費規則相同，加密功能本身不收取額外費用。詳細內容，可參考Block Storage計費。

• 密鑰費用：使用密鑰過程中不會產生密鑰費用。

配額與限制

• 執行個體規格

  加密系統硬碟或通過快照建立加密資料盤時，不支援掛載至ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。

• 雲端硬碟類型

  加密系統硬碟或通過快照建立加密資料盤時，僅支援加密ESSD系列雲端硬碟（ESSD雲端硬碟、ESSD Entry雲端硬碟、ESSD AutoPL雲端硬碟和ESSD同城冗餘雲端硬碟）。

• 地區

  • 不支援建立加密雲端硬碟的地區：華東5（南京-本地地區-關停中）、韓國（首爾）。

  • 不支援使用主要金鑰的地區：華東6（福州-本地地區-關停中）、泰國（曼穀）。

常見問題

如何證明資料落盤已加密？

1. 購買測試執行個體時，建立使用主要金鑰加密的系統硬碟。

2. 禁用主要金鑰。

   1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 密钥管理。

   2. 在用户主密钥或默认密钥頁簽，定位目標密鑰，單擊操作列的禁用。

   3. 在禁用密钥對話方塊，確認無誤後，單擊確定。

      重要

      在禁用KMS主要金鑰時，請自行排查該密鑰是否存在關聯使用的雲資源，避免禁用密鑰後對使用該密鑰的服務產生影響。

3. 驗證是否加密。

   串連ECS執行個體後，執行sudo reboot，重啟作業系統，由於加密系統硬碟關聯的KMS加密金鑰已被禁用，系統無法解密資料，會出現IO hang。此時通過VNC串連ECS執行個體，顯示為黑屏，證明資料已被加密。

4. 啟用KMS主要金鑰並釋放測試執行個體。

相關文檔

• 關於KMS密鑰的詳細介紹，可參考支援雲產品加密的密鑰類型。

• 加密的詳細原理，請參見雲產品整合KMS加密概述。