加密数据盘后,数据盘上的动态数据传输以及静态数据都会被加密。

背景信息

除非特别指出,本文中的云盘指代云盘和共享块存储中的数据盘。

创建实例时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 实例列表页面的右上角,单击创建实例
  4. 基础配置处,找到存储配置,按以下步骤操作。
    说明 本步骤仅描述创建实例时如何配置加密选项,其余配置详情,请参见使用向导创建实例
    1. 单击增加一块数据盘
    2. 选择数据盘的云盘类型以及容量等配置。
    3. 勾选加密,单击下拉选项,选择一个密钥。
      创建实例时加密数据盘
      加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以在KMS管理控制台查看密钥标签。

创建云盘时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击存储与快照 > 云盘
  3. 磁盘列表页面右上角,单击创建云盘进入创建页面。
  4. 选择与待挂载的ECS实例所在的同一个地域和可用区。
  5. 云盘配置处,勾选加密,单击下拉选项,选择一个密钥。
    说明 本步骤仅描述创建云盘时如何配置加密选项,其余配置详情,请参见创建按量付费云盘创建包年包月云盘
    创建按量数据盘
    加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以在KMS管理控制台查看密钥标签。

转换加密状态

已经创建的数据盘,不能直接转换云盘的加密状态。如果您需要转换数据的加密状态,参见下表中的操作。
转换状态 方法 Windows Server系统 Linux系统
非加密状态 -> 加密状态
  1. 登录到ECS实例操作系统内
  2. 将数据从非加密云盘手动复制到新建的加密云盘
在CMD中使用robocopy命令 使用Shell命令rsync
加密状态 -> 非加密状态
  1. 登录到ECS实例操作系统内
  2. 将数据从加密云盘手动复制到新建的非加密云盘