工作原理
服务端加密支持选择默认密钥及用户自行创建的用户主密钥,具体可选择的密钥类型如下。
密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES_256(默认) 按需版&包周期版 用户自行创建 用户主密钥-软件 AES_256 按需版 用户主密钥-硬件 AES_256
SM4
按需版
在了解云硬盘加密工作原理之前,首先需要了解两个概念:
- 默认密钥
- 系统为云产品自动创建的用于服务端加密的默认密钥,默认密钥与云产品对应,每个天翼云账号下的每个云产品,在每个资源支持创建1个默认密钥。
- 默认密钥的别名定义为alias_<云产品代码>,例如alias_ecs。
- 默认密钥的密钥材料由KMS生成,不支持导入外部密钥材料,同时不支持自动轮转、启用/禁用、删除等操作。
- 用户主密钥
- 用户主密钥云产品加密时,可选用户在KMS服务中自建的用户主密钥,密钥类型为对称密钥,算法支持AES_256、SM4,保护级别可选软件保护、硬件保护。
- 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费,请您确保账户余额充足、到期前及时续费,避免KMS服务冻结,冻结后云产品无法进行正常的加解密操作,云产品可能会出现异常。
- 用户主密钥支持计划删除,操作计划删除前请确保该密钥非云产品加密使用的密钥,避免误删除导致云产品无法正常加解密而出现异常。为避免误删,您可以为密钥开启删除保护功能。
注意当前云硬盘加密仅支持选择按需版本中的自建用户主密钥,当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。
若您为2024年9月10日之后购买了KMS包周期服务,您可选择使用默认密钥进行云产品加密。
第一次使用加密云硬盘时,系统会自动创建一个用户主密钥(CMK),该密钥有且仅有一个,且是在KMS中的相应地域所创建,并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。
每个地域的加密云硬盘,都需要通过256位数据密钥(DEK)进行加密,此数据密钥(DEK)具备地域唯一性,即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DEK)仅在实例所在的宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
在创建加密云硬盘并将其挂载到实例后,以下数据都将关联此密钥并进行加密:
- 云硬盘中的静态数据
- 云硬盘和实例间传输的数据(实例操作系统内的数据不加密)
- 通过加密云硬盘创建的快照
创建加密云硬盘
加密数据盘的灵活度较高,用户可以选择跟随弹性云主机一起购买,也可以在云硬盘管理控制台上单独购买,为其加密可以通过以下方法:
- 跟随弹性云主机购买云硬盘时,用户可在云硬盘高级属性中选择是否为其加密,当勾选加密属性后,此云硬盘即可成功加密。系统盘只能跟随弹性云主机一起订购,因此只能在订购云主机时选择加密。
- 在云硬盘管理控制台单独购买一个空的数据盘,且不选择其数据来源时,也可以在高级属性设置中选择其为加密数据盘,且购买成功后,用户无法更改其加密属性。
- 在云硬盘管理控制台勾选数据来源购买一个数据盘,用户可选择的数据来源有备份与快照,此云硬盘的加密属性和备份、快照的源云硬盘加密属性保持一致。即快照与备份的源云硬盘是加密云硬盘,则此云硬盘也具有加密属性。
创建云硬盘的具体操作步骤可参见创建云硬盘。
卸载加密云硬盘
若加密云硬盘使用的是用户主密钥,在卸载之前请确认云硬盘的用户主密钥是否可用。
- 若此加密云硬盘的用户主密钥是可用的,卸载云硬盘时,数据不会丢失,也可以正常重新挂载。
- 若此加密云硬盘的用户主密钥不可用,即使当前该云硬盘还可以正常读写,但是不能保证此云硬盘一直可以正常使用,且有可能造成重新挂载的失败,因此用户需要随时确保用户主密钥的状态,再进行卸载。
卸载加密云硬盘的具体操作请参见卸载云硬盘。
数据盘加密场景
数据盘可以跟随弹性云主机一起购买,也可以单独购买。数据盘是否加密主要涉及如下场景:
购买方式 数据源 说明 随弹性云主机一起购买数据盘 不选择数据源 随弹性云主机一起购买的空白数据盘,可以选择加密或不加密。
创建完成后不可更改加密属性。单独购买数据盘 不选择数据源 创建的空白数据盘,可以选择加密或不加密。
创建完成后不可更改加密属性。
从备份创建(备份源云硬盘加密) 通过加密云硬盘创建的备份属性为加密。
使用加密备份作为数据源创建的云硬盘继承备份的加密属性和加密密钥。
从备份创建 (备份源云硬盘未加密) 通过未加密云硬盘创建的备份为未加密备份。
使用未加密备份作为数据源创建的云硬盘未加密。
从快照创建(快照源云硬盘加密) 通过加密云硬盘创建的快照为加密快照。
使用加密快照作为数据源创建的云硬盘继承快照的加密属性和加密密钥。
从快照创建 (快照源云硬盘未加密) 通过未加密云硬盘创建的快照为未加密快照。
使用未加密快照作为数据源创建的云硬盘未加密。
从镜像创建 (数据盘镜像不支持加密) 仅未加密云硬盘可以创建数据盘镜像。
使用未加密镜像作为数据源创建的云硬盘未加密。
加密云硬盘相关限制
使用加密云硬盘时还需要注意以下限制:
限制项 限制说明 支持资源池 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2-贵州/杭州7/庆阳2/呼和浩特3/长沙42。 支持加密的云硬盘类型 普通IO、高IO、通用型SSD、超高IO。 其他限制项 云硬盘的加密属性在云硬盘创建完成后不支持修改。 磁盘模式为SCSI或FCSAN的云硬盘不支持加密。 共享盘不支持加密。
