国内云服务器商阿里云如何加密系统盘?用户可以通过ECS控制台、API等方式在创建ECS实例或者复制自定义镜像时,选择是否对系统盘进行加密。系统盘加密后,系统盘上的数据都会被加密。加密密钥可以是系统自建的密钥(CMK),也可以是您导入的密钥(BYOK)。本文,小编为大家介绍一下阿里云服务器加密系统盘的方法。
背景信息
系统盘加密方式
您可以通过以下方式加密系统盘:
- 方式一:(推荐)创建实例时加密系统盘
创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。创建实例时加密系统盘的限制条件如下所示。
|
限制项 |
说明 |
|
地域 |
中国(香港)D可用区、新加坡A可用区暂不支持在创建实例时加密系统盘。 |
|
实例规格族 |
不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。 |
|
镜像 |
仅支持公共镜像和自定义镜像,不支持共享镜像和市场镜像。 |
|
云盘类型 |
仅支持ESSD云盘类型。 |
|
自选自定义密钥(BYOK) |
华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域暂不支持自选自定义密钥(BYOK)。 |
- 方式二:通过复制镜像加密系统盘
复制自定义镜像时,选择加密复制并选择密钥来加密自定义镜像。然后再使用加密的自定义镜像去创建ECS实例,系统盘以及数据盘(如果有)会被自动加密。通过复制自定义镜像加密系统盘的流程如下图所示。
系统盘加密场景
ECS系统盘加密可能涉及如下几种场景,不同场景下ECS系统盘最终的加密状态不同。
|
创建实例时是否加密系统盘 |
自定义镜像是否加密 |
ECS系统盘最终加密状态 |
|
否 |
否 |
否 |
|
是(密钥A) |
否 |
是(密钥A) |
|
否 |
是(密钥B) |
是(密钥B) |
|
是(密钥A) |
是(密钥B) |
是(密钥A) |
(推荐)创建实例时加密系统盘
您可以在创建ECS实例时,为系统盘选中加密选项并选择密钥来加密系统盘。
1、登录阿里云服务器ECS管理控制台。
2、在左侧导航栏,选择实例与镜像 >实例。
3、在顶部菜单栏左上角处,选择地域。
4、在实例页面,单击创建实例。
5、在基础配置页面,按以下步骤操作。
a.选择符合条件的地域和可用区、实例规格。
b.镜像类型选择公共镜像或者自定义镜像。
c.系统盘选择ESSD云盘类型,并配置容量等信息。
d.选中加密,并在下拉列表中选择一个密钥。
选择密钥时,阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建好的CMK密钥(BYOK)指定为该云盘的加密密钥。阿里云建议您使用自定义密钥(BYOK)进行加密。
加密后,用来加密云盘的KMS密钥自动被绑定一个标签,标签键固定为acs:ecs:disk-encryption,标签值固定为true。您可以登录密钥管理服务控制台,并单击密钥ID,查看密钥标签。
通过复制镜像加密系统盘
您可以在同地域或者跨地域复制镜像时选择加密自定义镜像,使用加密后的自定义镜像创建的系统盘以及数据盘(如果有)会被自动加密。
加密自定义镜像
加密自定义镜像支持在控制台复制镜像时加密和在调用API CopyImage时加密。
- 在控制台复制镜像时加密自定义镜像
本步骤介绍在已有的自定义镜像上加密系统盘。如果没有自定义镜像,请先创建自定义镜像。
a.登录ECS管理控制台。
b.在左侧导航栏,选择实例与镜像>镜像。
c.在顶部菜单栏左上角处,选择地域。
d.在镜像页面,选择自定义镜像页签。
e.选择需要复制的镜像,在操作列中,单击复制镜像。
f.在复制镜像对话框中,复制镜像类型选择加密复制,并选择目标地域和加密密钥。
选择密钥时,阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以在下拉列表中选择事先在KMS服务中创建好的CMK密钥(BYOK)。阿里云建议您使用自定义密钥(BYOK)进行加密。
g.单击确定,系统开始复制镜像。
- 调用CopyImage时加密自定义镜像
以下示例使用阿里云CLI调用API CopyImage,指定一个KMSKeyId来加密系统盘。
aliyun ecs CopyImage --RegionId cn-hongkong \
--ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
--Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
--Tag.N.Key EcsDocumentation使用加密的自定义镜像创建ECS实例
自定义镜像加密完成后,使用加密的自定义镜像去创建ECS实例,系统盘以及数据盘(如果有)会被自动加密,并且系统盘和数据盘的加密密钥与该镜像使用的密钥相同。
转换系统盘加密状态说明
转换系统盘加密状态与是否选择或者更换CMK有关,如下所示:
- 复制未加密的镜像时,未选择CMK,则使用目标镜像创建的系统盘的加密状态为未加密。
- 复制未加密的镜像时,选择了CMK,则目标镜像被加密,您需要使用选择的CMK访问使用目标镜像创建的ECS实例。
- 复制已加密的镜像时,未选择CMK,则目标镜像被加密,但您只需使用原有密钥访问使用目标镜像创建的ECS实例。
- 复制已加密的镜像时,选择了新的CMK,则目标镜像被加密,您必须使用新密钥访问使用目标镜像创建的ECS实例。
