加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。如果您的业务存在安全合规要求,可以参考本文加密数据盘。

背景信息

您可以通过以下方式加密数据盘:

加密数据盘时需要使用密钥管理服务中的密钥。更多信息,请参见加密概述

限制条件

加密数据盘时,如果选择用快照创建磁盘,必须满足以下条件才能选择加密选项为数据盘加密。
限制项 说明
地域 中国(香港)D可用区、新加坡A可用区暂不支持使用快照创建加密数据盘。
实例规格族 不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族
镜像 仅支持公共镜像和自定义镜像,不支持共享镜像和市场镜像。
云盘类型 仅支持ESSD云盘类型。

创建实例时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,选择实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 实例页面,单击创建实例
  5. 基础配置页面,找到存储配置,按以下步骤操作。
    1. 单击增加一块数据盘
    2. 选择数据盘的云盘类型,并配置容量等信息。
      说明 本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见使用向导创建实例
    3. 选中加密,并在下拉列表中选择一个密钥。
      创建实例时加密数据盘
      选择密钥时,阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建好的CMK密钥(BYOK)指定为该云盘的加密密钥。阿里云建议您使用自定义密钥(BYOK)进行加密。 如何创建自定义密钥,请参见创建密钥
      说明 目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选自定义密钥(BYOK)。
      加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以登录密钥管理服务控制台,并单击密钥ID,查看密钥标签。

创建云盘时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,选择存储与快照 > 云盘
  3. 在顶部菜单栏左上角处,选择地域。
  4. 云盘页面,单击创建云盘
  5. 存储配置处,选择云盘类型并配置容量等信息。
    说明 本步骤仅描述创建云盘时如何配置加密选项,具体配置说明,请参见创建云盘
  6. 选中加密,并在下拉列表中选择一个密钥。
    创建按量数据盘
    选择密钥时,阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建好的CMK密钥(BYOK)指定为该云盘的加密密钥。阿里云建议您使用自定义密钥(BYOK)进行加密。 如何创建自定义密钥,请参见创建密钥
    说明 目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选自定义密钥(BYOK)。
    加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以登录密钥管理服务控制台,并单击密钥ID,查看密钥标签。