Key Management Service (KMS) を使用してElastic Compute Service (ECS) リソース (ディスク、スナップショット、イメージなど) を暗号化する必要がある場合は、Resource access Management (RAM) ロールを使用してECSにKMSへのアクセスを許可する必要があります。 さらに、暗号化されたスナップショットまたはイメージを他のAlibaba Cloudアカウントと共有する場合は、まず共有アカウントにKMSキーへのアクセス権を付与する必要があります。 このドキュメントでは、主にECSでKMS暗号化を使用するシナリオと、必要なRAMの役割と権限について説明します。
RAMロールの詳細については、「ID」をご参照ください。
ECSリソースの暗号化権限
権限の説明
KMSマスターキーを使用して初めてECSリソースを暗号化する場合、KMSキーへのECSアクセスを許可する必要があります。
説明リージョン内のECSリソースを初めて暗号化すると、システムは現在のリージョンのKMSにECS専用のサービスキーを自動的に作成します。 サービスキーの名前は、Default service CMK (別名alias/acs/ecs) です。 暗号化にサービスキーを使用する場合、承認は必要ありません。
RAM ロール
AliyunECSDiskEncryptDefaultRole
設定方法
KMSを有効にします。 具体的な操作については、「KMSインスタンスの購入と有効化」をご参照ください。
最初にKMSマスターキーを選択して、暗号化されたディスクを作成するなど、ECSリソースを暗号化すると、RAMロールに権限を付与するように求められます。 承認を完了するには、ガイダンスに従う必要があります。 システムは自動的に
AliyunECSDiskEncryptDefaultRoleロールを作成し、権限を付与します。
認証が完了すると、作成したマスターキーを使用してECSリソースを暗号化できます。
暗号化されたリソースへのクロスアカウントアクセス
権限の説明: 暗号化されたスナップショットまたはイメージを他のAlibaba Cloudアカウントと共有する場合、AliyunECSDiskEncryptDefaultRoleロールを介してKMSキーへのアクセスをECSに付与する必要があります。 さらに、RAMロールを作成し、RAMロールに必要な権限を付与するポリシーをアタッチする必要があります。 暗号化されたスナップショットまたはイメージを他のAlibaba Cloudアカウントと共有できます。
ロール名
暗号化されたスナップショットの共有:
暗号化された画像を共有する: AliyunECSShareEncryptImageDefaultRole
設定方法
暗号化されたスナップショットの共有: 特定の操作については、「暗号化されたスナップショットの共有」をご参照ください。
暗号化されたイメージの共有: 特定の操作については、「暗号化されたカスタムイメージの共有」をご参照ください。