通过对ECS数据盘实施加密,可以确保云盘上的所有数据(包括静态存储和动态传输中的数据)都得到安全保护。如果您的业务需要满足安全合规要求,可以考虑使用数据盘加密来提升数据的安全性。
前提条件
请确保已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
操作步骤
您可以在创建ECS实例或创建数据盘时加密数据盘,存量的非加密云盘不能直接转换成加密云盘,存量的加密云盘也不能直接转换为非加密云盘。
创建实例时加密数据盘
本步骤仅描述创建实例时如何配置加密选项,其余配置说明,请参见自定义购买实例。
在实例页面,单击创建实例。
在存储区域,选择加密数据盘。
在数据盘参数处,单击添加数据盘。
选择数据盘的云盘类型,并配置容量等信息。
选中加密,并在下拉列表中选择一个密钥。
选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。
说明首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选用户主密钥。
如果选择用快照创建磁盘,必须满足以下条件才能选择加密选项。
限制项
说明
实例规格族
不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族。
云盘类型
仅支持ESSD云盘、ESSD AutoPL云盘和ESSD Entry云盘。
创建云盘时加密数据盘
本步骤仅描述创建云盘时如何配置加密选项,其余配置说明,请参见创建云盘。
在云盘页面,单击创建云盘。
在存储参数处,选择云盘类型并配置容量等信息。
选中加密,并在下拉列表中选择一个密钥。
选择密钥时,可以选择KMS服务主密钥(Default Service CMK)或在下拉列表中选择事先在KMS服务中创建好的用户主密钥。
说明首次在下拉列表中选择更多类型的密钥时,单击去授权,根据页面引导为ECS授权
AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。更多信息,请参见通过实例RAM角色控制资源访问。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域不支持自选用户主密钥。
如果选择用快照创建磁盘,必须满足以下条件才能选择加密选项。
限制项
说明
实例规格族
不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,请参见实例规格族。
云盘类型
仅支持ESSD云盘、ESSD AutoPL云盘和ESSD Entry云盘。
- 本页导读 (1)