加密雲端硬碟保護雲端硬碟的資料安全 - Elastic Compute Service

雲端硬碟加密是指在建立ECS執行個體（選擇系統硬碟、資料盤）或者單獨建立資料盤時為雲端硬碟勾選加密選項，建立完成後ECS執行個體作業系統內的資料會在雲端硬碟所在宿主機（ECS執行個體伺服器）被自動加密，無需自建和維護密鑰管理基礎設施，您就能保護資料的隱私性和自主性，為業務資料提供安全邊界。

功能介紹

雲端硬碟加密採用行業標準的AES-256密碼編譯演算法，利用Key Management Service（Key Management Service）進行加密。使用雲端硬碟加密功能，系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密，並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行，啟用加密功能的雲端硬碟效能會低於未開啟加密功能的雲端硬碟，並根據上層應用的不同，效能下降的幅度也不同，但是ECS執行個體的效能幾乎沒有衰減。

雲端硬碟加密包括：

加密系統硬碟
使用加密的系統硬碟建立ECS執行個體後，ECS執行個體作業系統內的資料會被自動加密，並在讀取資料時自動解密。
加密資料盤
建立加密的資料盤並將其掛載到ECS執行個體後，以下資料會被自動加密，並在讀取資料時自動解密。
- 加密雲端硬碟中的待用資料。
- 加密雲端硬碟和執行個體間傳輸的資料（不包括作業系統內的資料）。
- 加密雲端硬碟從執行個體傳遞到後端儲存叢集的資料。
- 從加密雲端硬碟建立的所有快照，並且該快照的加密金鑰與雲端硬碟的加密金鑰保持相同。
- 從加密快照建立的所有雲端硬碟。

加密金鑰

ECS雲端硬碟加密功能預設使用服務密鑰（Service Key）為使用者資料進行加密，也支援使用使用者主要金鑰CMK（Customer Master Key）為使用者的資料進行加密。雲端硬碟的加密機制中，每一塊雲端硬碟會有相對應的使用者主要金鑰CMK和資料密鑰DK（Data Key），並通過信封加密機制對使用者資料進行加密。在信封加密機制中，CMK受Key Management Service提供的密鑰管理基礎設施的保護，實施強物理安全和邏輯安全保護。雲產品必須通過恰當的使用者授權，才可以使用對應的CMK來產生DK，用於業務資料的加密，也只有通過使用者授權，才可以使用對應的CMK來解密DK的密文，用於業務資料的解密。DK的明文僅會在您使用的ECS執行個體所在的宿主機的記憶體中使用，不會以明文形式儲存在永久介質上。

更多資訊，請參見密鑰服務概述。

加密雲端硬碟時，您可以選擇的密鑰包括以下類型。

類型	說明	來源	適用情境
預設密鑰，下圖①	開通KMS後，當您在一個地區第一次使用加密功能時，KMS自動在該地區建立一個專為ECS使用的CMK，密鑰別名為acs/ecs，預設密鑰不支援刪除和禁用操作。	KMS提供的預設密鑰。預設密鑰包含服務密鑰、主要金鑰，服務密鑰由雲產品建立及管理生命週期，主要金鑰由您建立及管理生命週期。	方便快捷。更多資訊，請參見密鑰服務概述。
使用者主要金鑰，下圖②	您自行建立的加密金鑰，您對該類型的密鑰擁有完全的系統管理權限，包括建立、輪換和禁用密鑰、定義存取控制的能力等。	來源一：您在KMS建立的密鑰，密鑰材料將由KMS產生。來源二：您在KMS建立的密鑰，並自行匯入了密鑰材料。更多資訊，請參見匯入對稱金鑰材料和匯入非對稱金鑰材料。	提高操作靈活性，增加密鑰數量。更多資訊，請參見密鑰服務概述。

計費說明

雲端硬碟加密利用Key Management Service進行加密。KMS為您提供免費的預設密鑰，預設密鑰無需購買KMS執行個體可直接使用。如果您需要擴充主要金鑰、使用憑據管家能力或為自建應用構建應用程式層密碼技術方案，您需要付費購買軟體密鑰管理執行個體或硬體密鑰管理執行個體。關於如何購買KMS執行個體，請參見購買和啟用KMS執行個體。關於使用KMS更多的計費資訊，請參見產品計費。

說明

如果您使用的是舊版KMS，使用KMS加密雲端硬碟產生的費用包含密鑰託管費用和API調用費用。更多資訊，請參見KMS計費說明。

使用限制

加密系統硬碟和資料盤具體的使用限制請參見加密系統硬碟和加密資料盤。

說明

不支援加密本地碟。