使用共享加密镜像创建云盘规则变更公告(涉及云服务器 ECS、弹性伸缩、容器服务Kubernetes版的OpenAPI)
影响时间
2025-07-01 00:00:00 (UTC+08) 之后变更生效
公告正文
从2025年7月1日起,使用共享加密镜像创建云盘的相关OpenAPI规则即将变更。变更后,当被共享方指定共享加密镜像调用相关接口,创建基于加密快照的云盘时,必须指定该云盘的请求参数Encrypted=true,以确保创建出的云盘使用的是被共享方自己的密钥。
变更原因
该变更是为了避免当加密镜像共享方的原密钥禁用/删除,或者授予被共享方的密钥使用权限失效时,造成被共享方无法正常使用的问题。
变更详情
变更涉及的OpenAPI接口包括:
云服务器ECS 接口:
弹性伸缩Auto Scaling接口:
容器服务Kubernetes版ACK 接口:
原规则:指定共享加密镜像调用上述任一接口时,若共享加密镜像中的某个系统盘或者数据盘快照是加密状态,则创建对应的云盘时若未指定云盘的请求参数Encrypted的值,创建出的云盘会使用共享加密镜像本身的密钥(即共享方的密钥)。
变更后规则:指定共享加密镜像调用上述任一接口时,若共享加密镜像中的某个系统盘或者数据盘快照是加密状态,则创建对应的云盘时必须指定云盘的请求参数Encrypted = true接口才能正确调用,且创建出的云盘会使用被共享方自己的密钥。若未指定该云盘的Encrypted值,则接口调用会报错。
用户需要做的
- 代码或者模板配置修改:如您在代码中或者模板配置中(例如云服务器ECS启动模板、弹性伸缩ESS启动模板、容器服务Kubernetes版ACK节点池、资源编排服务ROS模板 和 系统运维管理OOS模板)调用上述接口且请求参数中指定了共享加密镜像,请确保代码或模板中已将待加密云盘的请求参数Encrypted指定为true;
- 行为优化:
- 对于镜像被共享方:
- 新建云盘:使用共享加密镜像调用上述接口时,需通过指定待加密云盘的Encrypted=true使用自己的密钥,而不是共享加密镜像原本的密钥。
- 存量云盘:对于已经使用共享加密镜像且没有指定Encrypted值创建了存量云盘的用户,请用该实例创建自定义镜像,再使用新镜像创建云盘(或者更换系统盘)时为云盘指定Encrypted = true。原云盘不建议继续使用,以避免密钥失效带来的影响。
- 对于镜像共享方:如共享的镜像是加密镜像,则加密镜像需要是用户主密钥CMK加密,不能是服务密钥加密。
- 对于镜像被共享方: