全部產品
Search

搜尋本產品

    Elastic Compute Service:使用加密雲端硬碟

    文件中心

    Elastic Compute Service:使用加密雲端硬碟

    更新時間:Oct 22, 2025

    對於有等保合規要求的企業,建議在建立雲端硬碟時啟用加密雲端硬碟。如果需要自訂祕密金鑰加密演算法、密鑰輪轉策略或實現自主要金鑰管理,推薦使用使用者主要金鑰(CMK)進行加密。

    安全風險

    雲端硬碟中儲存的資料,如商業機密、使用者個人資訊或財務記錄,若不進行加密,資料將以明文形式存在。在極端情況下,例如資料中心物理裝置被盜、營運人員誤操作或惡意行為、甚至駭客通過虛擬化層的漏洞滲透,都可能導致敏感性資料的直接泄露。

    加密雲端硬碟可以確保資料在預存程序中不被篡改,保證資料的完整性和真實性。即使磁碟被物理層或虛擬化層被攻擊,資料也無法被直接讀取,從而保護使用者隱私。

    最佳實務

    建立執行個體或者建立資料盤時,可選擇使用服務密鑰或使用者主要金鑰(CMK)對雲端硬碟進行加密:

    • 服務密鑰:阿里雲KMS免費提供預設密鑰用於雲產品服務端加密,無需購買執行個體,用於為使用者提供基本的資料加密保護能力。

    • 使用者主要金鑰:若需要自行決定密鑰的產生、儲存、輪換和銷毀策略,不依賴於雲端服務供應商,適應不同的業務需求和安全性原則,則需付費購買KMS密鑰執行個體。具體操作,請參見購買和啟用KMS執行個體

    控制台

    • 建立執行個體時,在系統硬碟資料盤設定中,勾選加密選項,在下拉框中選擇密鑰。

    • 建立資料盤時,在雲端硬碟設定中,勾選加密選項,在下拉框中選擇密鑰。

    API

    • 通過RunInstances或者CreateInstance介面建立執行個體時,通過Encrypted參數指定是否加密,KMSKeyId參數指定使用的加密金鑰。

    • 通過CreateDisk介面建立雲端硬碟時,通過Encrypted參數指定是否加密,KMSKeyId參數指定使用的加密金鑰。

    合規能力

    檢查:是否存在未開啟加密的磁碟

    ECS使用成熟度等級評估與洞察

    1. 前往ECS使用成熟度等級評估與洞察

    2. 選擇安全效能力頁簽,單擊檢查項使用雲端硬碟加密能力提升資料安全性,可以查看未開啟加密的雲端硬碟。

    Security Center

    1. 前往Security Center控制台

    2. 在左側功能表列選擇風險治理 > 雲安全態勢管理,選擇雲產品配置風險頁簽,尋找名為確保掛載磁碟已加密未掛載磁碟加密的檢查項,單擊操作列的掃描按鈕。

      若狀態顯示為未通過,表示存在未開啟加密的磁碟,可單擊詳情進行查看。

    攔截一:禁止建立未加密雲端硬碟

    在組織或賬戶層面通過RAM Policy策略,主動攔截未開啟加密的建立執行個體和建立雲端硬碟行為。

    阿里雲支援按地區開啟Block Storage帳號級預設加密功能,開啟後,該地區下所有建立雲端硬碟、複製快照、複製鏡像均預設強制加密,無需再單獨指定加密參數。

    • 針對企業使用者:

      1. 使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略建立自訂權限原則,粘貼以下JSON內容。

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:IsSystemDiskEncrypted": "false"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": "ecs:CreateDisk",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    }
  ]
}

      2. 在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。

    • 針對非企業使用者:

      1. 使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。

      2. 通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。

    攔截二:禁止建立未使用使用者主要金鑰(CMK)的雲端硬碟

    在組織或賬戶層面通過RAM Policy策略,主動攔截未使用使用者主要金鑰加密的建立執行個體和建立雲端硬碟行為。

    • 針對企業使用者:

      1. 使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略建立自訂權限原則,粘貼以下JSON內容。

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskByokEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:IsSystemDiskByokEncrypted": "false"
        }
      },
      "Effect": "Deny"
    },
    {
      "Action": "ecs:CreateDisk",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:IsDiskByokEncrypted": "*false*"
        }
      },
      "Effect": "Deny"
    }
  ]
}

      2. 在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。

    • 針對非企業使用者:

      1. 使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。

      2. 通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。

    修複:修複存量雲端硬碟未開啟加密風險

    在使用該模板前請檢查您的雲端硬碟類型:僅支援加密ESSD系列雲端硬碟(ESSD PL0/PL1/PL2/PL3、ESSD Entry、ESSD AutoPL和ESSD同城冗餘)。同時,折扣購買的預付費磁碟不支援此模板加密,並會產生額外的費用。

    通過系統營運管理 OOS大量加密雲端硬碟,請參見ACS-ECS-BulkyEncryptDisks