Elastic Container Instanceを使用すると、elastic container instanceの一時ストレージスペースを暗号化して、機密イメージやビジネスデータを保護したり、規制に準拠したりできます。 このようにして、データは不正アクセスや漏洩に対して安全で無傷のままです。 このトピックでは、エラスティックコンテナインスタンスの一時ストレージスペースを暗号化する方法について説明します。
機能の説明
デフォルトでは、各エラスティックコンテナインスタンスには、インスタンスの起動に使用されるコンテナイメージと、インスタンスの実行中に生成されるビジネスデータを格納するための30 GiBの一時ストレージスペースが用意されています。 ビジネス要件に基づいて、ストレージスペースのサイズを増やすことができます。 Elastic Container Instanceを使用すると、一時的なストレージスペースを暗号化して、機密性の高いイメージやビジネスデータを保護したり、規制に準拠したりできます。 このようにして、データは不正アクセスや漏洩に対して安全で無傷のままです。
エラスティックコンテナインスタンスの作成時に暗号化機能を有効にすると、elastic container instanceは一時ストレージスペース内のデータを自動的に暗号化し、データの読み取り時にデータを復号化します。 暗号化機能は、業界標準のAES-256アルゴリズムと、Alibaba Cloud Key Management service (KMS) が提供するサービスキー (デフォルトキー) を使用してデータを暗号化します。
前提条件
KMS が有効化されていること。 詳細については、「専用KMSインスタンスの購入」をご参照ください。
KMSを有効化すると、システムは自動的にサービスキーを作成および管理します。 サービスキーは無料で使用できます。
使用上の注意
このトピックで説明する暗号化方法は、手動で作成されたイメージキャッシュを使用して作成されたエラスティックコンテナインスタンスには適用されません。
設定の説明
エラスティックコンテナインスタンスのメタデータに次のアノテーションを追加して、一時ストレージスペースを暗号化できます。
注釈 | 例 | 説明 |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\" 暗号化された \":\" true\"}" |
|
ポッドの構成ファイルのメタデータに注釈を追加する必要があります。 たとえば、配置を作成するときは、spec.template.metadataセクションに注釈を追加する必要があります。
Elastic Container Instanceの機能を使用するには、Elastic Container Instanceベースのポッドを作成する場合にのみアノテーションを追加できます。 ポッドを更新するときにアノテーションを追加または変更しても、これらのアノテーションは有効になりません。
設定例
次のサンプルコードでは、デプロイメントのエラスティックコンテナインスタンスの一時記憶領域を暗号化するためのアノテーションを追加する方法の例を示します。 この例では、一時記憶空間内のデータは、データが読み取られるときに自動的に暗号化および復号化される。
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # Encrypt the temporary storage space.
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2