雲端硬碟加密是指在建立ECS執行個體(選擇系統硬碟、資料盤)或者單獨建立資料盤時為雲端硬碟勾選加密選項,建立完成後ECS執行個體作業系統內的資料會在雲端硬碟所在宿主機(ECS執行個體伺服器)被自動加密,無需自建和維護密鑰管理基礎設施,您就能保護資料的隱私性和自主性,為業務資料提供安全邊界。
功能介紹
雲端硬碟加密採用行業標準的AES-256密碼編譯演算法,利用Key Management Service(Key Management Service)進行加密。使用雲端硬碟加密功能,系統會將從ECS執行個體傳輸到雲端硬碟的資料自動進行加密,並在讀取資料時自動解密。加密解密操作在ECS執行個體所在的宿主機上進行,啟用加密功能的雲端硬碟效能會低於未開啟加密功能的雲端硬碟,並根據上層應用的不同,效能下降的幅度也不同,但是ECS執行個體的效能幾乎沒有衰減。
雲端硬碟加密包括:
加密金鑰
ECS雲端硬碟加密功能預設使用服務密鑰(Service Key)為使用者資料進行加密,也支援使用使用者主要金鑰CMK(Customer Master Key)為使用者的資料進行加密。雲端硬碟的加密機制中,每一塊雲端硬碟會有相對應的使用者主要金鑰CMK和資料密鑰DK(Data Key),並通過信封加密機制對使用者資料進行加密。在信封加密機制中,CMK受Key Management Service提供的密鑰管理基礎設施的保護,實施強物理安全和邏輯安全保護。雲產品必須通過恰當的使用者授權,才可以使用對應的CMK來產生DK,用於業務資料的加密,也只有通過使用者授權,才可以使用對應的CMK來解密DK的密文,用於業務資料的解密。DK的明文僅會在您使用的ECS執行個體所在的宿主機的記憶體中使用,不會以明文形式儲存在永久介質上。
更多資訊,請參見密鑰服務概述。
計費說明
雲端硬碟加密利用Key Management Service進行加密。KMS為您提供免費的預設密鑰,預設密鑰無需購買KMS執行個體可直接使用。如果您需要擴充主要金鑰、使用憑據管家能力或為自建應用構建應用程式層密碼技術方案,您需要付費購買軟體密鑰管理執行個體或硬體密鑰管理執行個體。關於如何購買KMS執行個體,請參見購買和啟用KMS執行個體。關於使用KMS更多的計費資訊,請參見產品計費。
如果您使用的是舊版KMS,使用KMS加密雲端硬碟產生的費用包含密鑰託管費用和API調用費用。更多資訊,請參見KMS計費說明。
使用限制
加密系統硬碟和資料盤具體的使用限制請參見加密系統硬碟和加密資料盤。
不支援加密本地碟。