注意:
密钥管理
腾讯云使用行业标准的 AES-256 算法,利用数据密钥加密您的云硬盘数据。第一次使用加密云硬盘时,系统会为您在 KMS 中的相应地域自动创建一个专门为云硬盘加密使用的用户主密钥(CMK)。自动创建的密钥有且仅有一个,并存储在受严格物理和逻辑安全控制保护的密钥管理服务上。
每个地域的加密云硬盘,都使用对应地域下唯一的256位数据密钥(DK)进行加密。通过加密云硬盘创建的快照,以及使用加密快照创建的加密云硬盘均关联该密钥。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DK)仅在实例所属宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
工作原理
当您设置云硬盘为加密云硬盘时,KMS 对数据进行加密,并在读取数据时自动解密。加解密过程在云服务器实例所在的宿主机上运行,对云硬盘读写性能几乎没有影响,您可以参见 如何衡量云硬盘的性能 进行云硬盘性能测试。
创建加密云硬盘并将其挂载到实例后,系统将对以下数据进行加密:
云硬盘中的静态数据。
云硬盘和实例间传输的数据(实例操作系统内的数据不加密)。
使用加密云硬盘创建的所有快照。
使用限制
云硬盘的加密功能具有以下限制:
限制类型 | 说明 |
云硬盘相关限制 | 云硬盘加密支持目前所有云硬盘类型和实例类型。 只能加密云硬盘,不能加密本地盘。 只能加密数据盘,不能加密系统盘。 已经存在的非加密云硬盘,不能直接转换成加密云硬盘。 已经加密的云硬盘,不能转换为非加密云硬盘。 加密云硬盘扩容后,需要从云服务器上卸载并重新挂载后才可识别新增容量。 加密云硬盘不支持挂载在带本地存储的实例上。 |
快照、镜像相关限制 | 已经存在的非加密盘产生的快照,不能直接转换成加密快照。 加密快照不能转换为非加密快照。 不能共享带有加密快照的镜像。 不能跨地域复制加密快照及加密快照创建的镜像。 |
其他限制 | 云硬盘加密功能依赖于同一地域的 KMS,如果您没有其他操作请求,则无需在 KMS 控制台执行额外操作。 首次使用云硬盘加密功能时,需要根据页面提示授权开通 KMS,否则将无法购买加密云硬盘。 系统专门为云硬盘加密所创建的 CMK 可通过 KMS 控制台查询,但不能自行指定,不能删除,也无法更改。 |
费用说明
云硬盘加密功能及所使用的 CMK 均不产生额外的费用,对云硬盘中数据的读写操作也不会产生额外的费用。但涉及加密云硬盘的管理操作时,无论通过控制台还是使用 API 进行加密云硬盘管理操作,均会以 API 的形式使用 KMS,并计入您在该地域下的 KMS 调用次数。KMS 本身按调用次数收费,计费详情请参见 密钥管理服务计费概述。
对加密云硬盘的管理操作包括:
创建加密云硬盘
挂载云硬盘
卸载云硬盘
创建快照
回滚快照
说明:
请保证您的账户余额充足,否则会出现操作失败。
创建加密云硬盘
您可通过以下三种方式创建加密云硬盘:
1. 登录 云硬盘控制台,选择对应地域后单击新建。
2. 在购买数据盘对话框中,勾选云硬盘加密选项。
说明:
若您是第一次在该地域下使用加密云硬盘,您需要首先对密钥管理服务进行授权。
3. 根据您的实际情况选择云硬盘配置,并单击确定。
转换数据加密状态
如果您需要对云硬盘现有数据从非加密状态转换为加密状态,建议您使用 Linux 下的
rsync 命令或者 Windows 下的 robocopy 命令,将数据从非加密盘复制到新创建的加密盘上。如果您需要对云硬盘现有数据从加密状态转换为非加密状态,则建议您使用相同命令将数据从加密盘复制到新创建的非加密盘上。
