当您需要使用KMS加密ECS资源(例如云盘、快照或镜像)时,需要通过RAM角色授予ECS访问KMS的权限;或共享加密快照、加密镜像给其他阿里云账号时,需先授予被共享账号有访问KMS密钥的权限。本文主要介绍在ECS上使用KMS加密的场景及所需的RAM角色和权限。
关于RAM角色的更多介绍,请参见身份管理。
加密ECS资源权限
权限说明
您首次使用KMS的主密钥来加密ECS资源时,需要授予ECS访问KMS密钥的权限。
说明首次在一个地域加密ECS资源时,系统会自动在当前地域KMS中创建一个专为ECS使用的服务密钥Default Service CMK(别名为alias/acs/ecs),使用服务密钥加密时不需要授权。
RAM角色
AliyunECSDiskEncryptDefaultRole
配置方式
开通KMS密钥管理服务。具体操作,请参见购买和启用KMS实例。
首次选择KMS的主密钥加密ECS资源时,例如创建加密云盘,界面会提示先授权。您需要根据页面引导完成授权,系统会自动创建
AliyunECSDiskEncryptDefaultRole
角色并授予权限。
授权完成后,即可在ECS中正常使用您创建的主密钥进行加密。