全部产品
Search
文档中心

云服务器 ECS:加密系统盘

更新时间:Aug 21, 2023

您可以通过ECS控制台、API等方式在创建ECS实例或者复制自定义镜像时,选择是否对系统盘进行加密。系统盘加密后,系统盘上的数据都会被加密。加密密钥可以是系统自建的密钥(CMK),也可以是您导入的密钥(BYOK)。

背景信息

系统盘加密方式

您可以通过以下方式加密系统盘:

  • 方式一:(推荐)创建实例时加密系统盘

    创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。创建实例时加密系统盘的限制条件如下所示。

    限制项

    说明

    实例规格族

    不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族

    云盘类型

    仅支持ESSD云盘类型。

    自选自定义密钥(BYOK)

    华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域暂不支持自选自定义密钥(BYOK)。

  • 方式二:通过复制镜像加密系统盘

    复制自定义镜像时,选择加密复制并选择密钥来加密自定义镜像。然后再使用加密的自定义镜像去创建ECS实例,系统盘以及数据盘(如果有)会被自动加密。通过复制自定义镜像加密系统盘的流程如下图所示。加密

系统盘加密场景

ECS系统盘加密可能涉及如下几种场景,不同场景下ECS系统盘最终的加密状态不同。

创建实例时是否加密系统盘

自定义镜像是否加密

ECS系统盘最终加密状态

是(密钥A)

更多信息,请参见(推荐)创建实例时加密系统盘

是(密钥A)

是(密钥B)

更多信息,请参见通过复制镜像加密系统盘

是(密钥B)

是(密钥A)

更多信息,请参见(推荐)创建实例时加密系统盘

是(密钥B)

更多信息,请参见通过复制镜像加密系统盘

是(密钥A)

前提条件

请确保已开通密钥管理服务KMS。具体操作,请参见开通密钥管理服务

(推荐)创建实例时加密系统盘

您可以在创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在页面左侧顶部,选择目标资源所在的地域。地域

  4. 实例页面,单击创建实例

  5. 存储区域,选择加密系统盘。

    说明

    本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见自定义购买实例

    1. 系统盘选择ESSD云盘类型,并配置容量等信息。

    2. 选中加密,并在下拉列表中选择一个密钥。

      image.png

      选择密钥时,阿里云默认使用服务密钥(Default Service CMK)进行加密,您也可以选择事先在KMS服务中创建好的自定义密钥(BYOK)为该云盘加密。阿里云建议您使用自定义密钥(BYOK)进行加密。 如何创建自定义密钥(BYOK),请参见创建密钥

      说明
      • 首次在下拉列表中选择更多类型密钥时,单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。

      • 目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选自定义密钥(BYOK)。

通过复制镜像加密系统盘

您可以在同地域或者跨地域复制镜像时选择加密自定义镜像,使用加密后的自定义镜像创建的系统盘以及数据盘(如果有)会被自动加密。

加密自定义镜像

加密自定义镜像支持在控制台复制镜像时加密和在调用API CopyImage时加密。

  • 在控制台复制镜像时加密自定义镜像

    本步骤介绍在已有的自定义镜像上加密系统盘。如果没有自定义镜像,请先创建自定义镜像。具体操作,请参见使用快照创建自定义镜像使用实例创建自定义镜像

    1. 登录ECS管理控制台

    2. 在左侧导航栏,选择实例与镜像 > 镜像

    3. 在顶部菜单栏左上角处,选择地域。

    4. 镜像页面,选择自定义镜像页签。

    5. 选择需要复制的镜像,在操作列中,单击复制镜像

    6. 复制镜像对话框中,复制镜像类型选择加密复制,并选择目标地域和加密密钥。复制镜像

      选择密钥时,阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以在下拉列表中选择事先在KMS服务中创建好的CMK密钥(BYOK)。阿里云建议您使用自定义密钥(BYOK)进行加密。如何创建自定义密钥,请参见创建密钥

      说明

      首次在下拉列表中选择更多类型密钥时,单击去授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。本步骤仅描述复制镜像时如何配置加密选项,其余配置说明,请参见复制镜像

    7. 单击确定,系统开始复制镜像。

  • 调用CopyImage时加密自定义镜像

    以下示例使用阿里云CLI调用API CopyImage,指定一个KMSKeyId来加密系统盘。

    aliyun ecs CopyImage --RegionId cn-hongkong \
    --ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
    --Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
    --Tag.N.Key EcsDocumentation

使用加密的自定义镜像创建ECS实例

自定义镜像加密完成后,使用加密的自定义镜像去创建ECS实例,系统盘以及数据盘(如果有)会被自动加密,并且系统盘和数据盘的加密密钥与该镜像使用的密钥相同。创建ECS实例的具体操作,请参见自定义购买实例

转换系统盘加密状态说明

转换系统盘加密状态与是否选择或者更换CMK有关,如下所示:

  • 复制未加密的镜像时,未选择CMK,则使用目标镜像创建的系统盘的加密状态为未加密。非加密的自定义镜像复制为非加密的自定义镜像

  • 复制未加密的镜像时,选择了CMK,则目标镜像被加密,您需要使用选择的CMK访问使用目标镜像创建的ECS实例。非加密的自定义镜像复制为加密的自定义镜像

  • 复制已加密的镜像时,未选择CMK,则目标镜像被加密,但您只需使用原有密钥访问使用目标镜像创建的ECS实例。加密的自定义镜像复制到加密的自定义镜像(不更换密钥)

  • 复制已加密的镜像时,选择了新的CMK,则目标镜像被加密,您必须使用新密钥访问使用目标镜像创建的ECS实例。加密的自定义镜像复制到加密的自定义镜像(更换密钥)

后续步骤

您可以使用加密后的镜像创建实例或更换系统盘: