云硬盘加密是指在创建云主机(选择系统盘、数据盘)时或者单独创建数据盘时勾选加密选项,创建完成后云主机操作系统内数据会在云硬盘所在宿主机被自动加密,无需自建和维护密钥管理基础设施,即可轻松保护数据的隐私性和自主性。
云硬盘加密采用行业标准的AES-256加密算法。
使用云硬盘加密功能,系统会将从云主机传输到云硬盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在云主机所在的宿主机上进行,启用加密功能的云硬盘性能会低于未开启加密功能的云硬盘,并根据上层应用的不同,性能下降的幅度也不同,但是云主机的性能几乎没有衰减。
创建加密云硬盘
加密数据盘的灵活度较高,用户可以选择跟随弹性云主机一起购买,也可以在云硬盘管理控制台上单独购买,为其加密可以通过以下方法:
跟随弹性云主机购买云硬盘时,用户可在云硬盘高级属性中选择是否为其加密,当勾选加密属性后,此云硬盘即可成功加密。系统盘只能跟随弹性云主机一起订购,因此只能在订购云主机时选择加密。
在云硬盘管理控制台单独购买一个空的数据盘,且不选择其数据来源时,也可以在高级属性设置中选择其为加密数据盘,且购买成功后,用户无法更改其加密属性。
在云硬盘管理控制台勾选数据来源购买一个数据盘,用户可选择的数据来源有备份与快照,此云硬盘的加密属性和备份、快照的源云硬盘加密属性保持一致。即快照与备份的源云硬盘是加密云硬盘,则此云硬盘也具有加密属性。
创建云硬盘的具体操作步骤可参见创建云硬盘。
卸载加密云硬盘
若加密云硬盘使用的是用户主密钥,在卸载之前请确认云硬盘的用户主密钥是否可用。
若此加密云硬盘的用户主密钥是可用的,卸载云硬盘时,数据不会丢失,也可以正常重新挂载。
若此加密云硬盘的用户主密钥不可用,即使当前该云硬盘还可以正常读写,但是不能保证此云硬盘一直可以正常使用,且有可能造成重新挂载的失败,因此用户需要随时确保用户主密钥的状态,再进行卸载。
卸载加密云硬盘的具体操作请参见卸载云硬盘。
数据盘加密场景
数据盘可以跟随弹性云主机一起购买,也可以单独购买。数据盘是否加密主要涉及如下场景:
购买方式 | 数据源 | 说明 |
随弹性云主机一起购买数据盘 | 不选择数据源 | 随弹性云主机一起购买的空白数据盘,可以选择加密或不加密。创建完成后不可更改加密属性。 |
单独购买数据盘 | 不选择数据源 | 创建的空白数据盘,可以选择加密或不加密。创建完成后不可更改加密属性。 |
从备份创建(备份源云硬盘加密) | 通过加密云硬盘创建的备份属性为加密。使用加密备份作为数据源创建的云硬盘继承备份的加密属性和加密密钥。 | |
从备份创建 (备份源云硬盘未加密) | 通过未加密云硬盘创建的备份为未加密备份。使用未加密备份作为数据源创建的云硬盘未加密。 | |
从快照创建(快照源云硬盘加密) | 通过加密云硬盘创建的快照为加密快照。使用加密快照作为数据源创建的云硬盘继承快照的加密属性和加密密钥。 | |
从快照创建 (快照源云硬盘未加密) | 通过未加密云硬盘创建的快照为未加密快照。使用未加密快照作为数据源创建的云硬盘未加密。 | |
从镜像创建 (数据盘镜像不支持加密) | 仅未加密云硬盘可以创建数据盘镜像。使用未加密镜像作为数据源创建的云硬盘未加密。 |
加密云硬盘相关限制
使用加密云硬盘时还需要注意以下限制:
限制项 | 限制说明 |
支持加密的云硬盘类型 | 普通IO、高IO、通用型SSD、超高IO。 |
其他限制项 | 云硬盘的加密属性在云硬盘创建完成后不支持修改。 |
磁盘模式为SCSI或FCSAN的云硬盘不支持加密。 | |
共享盘不支持加密。 |