當您需要使用KMS加密ECS資源(例如雲端硬碟、快照或鏡像)時,需要通過RAM角色授予ECS訪問KMS的許可權;或共用加密快照、加密鏡像給其他阿里雲帳號時,需先授予被共用帳號有訪問KMS密鑰的許可權。本文主要介紹在ECS上使用KMS加密的情境及所需的RAM角色和許可權。
關於RAM角色的更多介紹,請參見身份管理。
加密ECS資源許可權
許可權說明
您首次使用KMS的主要金鑰來加密ECS資源時,需要授予ECS訪問KMS密鑰的許可權。
說明首次在一個地區加密ECS資源時,系統會自動在當前地區KMS中建立一個專為ECS使用的服務密鑰Default Service CMK(別名為alias/acs/ecs),使用服務祕密金鑰加密時不需要授權。
RAM角色
AliyunECSDiskEncryptDefaultRole
配置方式
開通Key Management Service。具體操作,請參見購買和啟用KMS執行個體。
首次選擇KMS的主要金鑰加密ECS資源時,例如建立加密雲端硬碟,介面會提示先授權。您需要根據頁面引導完成授權,系統會自動建立
AliyunECSDiskEncryptDefaultRole角色並授予許可權。
授權完成後,即可在ECS中正常使用您建立的主要金鑰進行加密。