阿里云服务器加密系统盘-[云淘科技_教程]

背景信息

系统盘加密方式

您可以通过以下方式加密系统盘：

• 方式一：（推荐）创建实例时加密系统盘

  创建ECS实例时，为系统盘选中加密选项并选择密钥来加密系统盘。创建实例时加密系统盘的限制条件如下所示。

  限制项	说明
  实例规格族	不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息，请参见实例规格族。
  云盘类型	仅支持ESSD云盘类型。
  自选自定义密钥（BYOK）	华东5（南京-本地地域）、华东6（福州-本地地域）、泰国（曼谷）和韩国（首尔）地域暂不支持自选自定义密钥（BYOK）。

• 方式二：通过复制镜像加密系统盘

  复制自定义镜像时，选择加密复制并选择密钥来加密自定义镜像。然后再使用加密的自定义镜像去创建ECS实例，系统盘以及数据盘（如果有）会被自动加密。通过复制自定义镜像加密系统盘的流程如下图所示。

系统盘加密场景

ECS系统盘加密可能涉及如下几种场景，不同场景下ECS系统盘最终的加密状态不同。

前提条件

请确保已开通密钥管理服务KMS。具体操作，请参见开通密钥管理服务。

（推荐）创建实例时加密系统盘

您可以在创建ECS实例时，为系统盘选中加密选项并选择密钥来加密系统盘。

1. 登录ECS管理控制台。

2. 在左侧导航栏，选择实例与镜像 > 实例。

3. 在页面左侧顶部，选择目标资源所在的地域。

4. 在实例页面，单击创建实例。

5. 在存储区域，选择加密系统盘。

   说明

   本步骤仅描述创建实例时如何配置加密选项，其余配置说明，请参见自定义购买实例。

   1. 系统盘选择ESSD云盘类型，并配置容量等信息。

   2. 选中加密，并在下拉列表中选择一个密钥。

      

      选择密钥时，阿里云默认使用服务密钥（Default Service CMK）进行加密，您也可以选择事先在KMS服务中创建好的自定义密钥（BYOK）为该云盘加密。阿里云建议您使用自定义密钥（BYOK）进行加密。 如何创建自定义密钥（BYOK），请参见创建密钥。

      说明

      • 首次在下拉列表中选择更多类型密钥时，单击去授权，根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色，允许ECS访问您的KMS资源。

      • 目前华东5（南京-本地地域）、华东6（福州-本地地域）、泰国（曼谷）和韩国（首尔）地域不支持自选自定义密钥（BYOK）。

通过复制镜像加密系统盘

您可以在同地域或者跨地域复制镜像时选择加密自定义镜像，使用加密后的自定义镜像创建的系统盘以及数据盘（如果有）会被自动加密。

加密自定义镜像

加密自定义镜像支持在控制台复制镜像时加密和在调用API CopyImage时加密。

• 在控制台复制镜像时加密自定义镜像

  本步骤介绍在已有的自定义镜像上加密系统盘。如果没有自定义镜像，请先创建自定义镜像。具体操作，请参见使用快照创建自定义镜像和使用实例创建自定义镜像。

  1. 登录ECS管理控制台。

  2. 在左侧导航栏，选择实例与镜像 > 镜像。

  3. 在顶部菜单栏左上角处，选择地域。

  4. 在镜像页面，选择自定义镜像页签。

  5. 选择需要复制的镜像，在操作列中，单击复制镜像。

  6. 在复制镜像对话框中，复制镜像类型选择加密复制，并选择目标地域和加密密钥。

     选择密钥时，阿里云默认使用托管的服务密钥（Default Service CMK）进行加密，您也可以在下拉列表中选择事先在KMS服务中创建好的CMK密钥（BYOK）。阿里云建议您使用自定义密钥（BYOK）进行加密。如何创建自定义密钥，请参见创建密钥。

     说明

     首次在下拉列表中选择更多类型密钥时，单击去授权，根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色，允许ECS访问您的KMS资源。本步骤仅描述复制镜像时如何配置加密选项，其余配置说明，请参见复制镜像。

  7. 单击确定，系统开始复制镜像。

• 调用CopyImage时加密自定义镜像

  以下示例使用阿里云CLI调用API CopyImage，指定一个KMSKeyId来加密系统盘。

  aliyun ecs CopyImage --RegionId cn-hongkong \
  --ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
  --Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
  --Tag.N.Key EcsDocumentation

使用加密的自定义镜像创建ECS实例

自定义镜像加密完成后，使用加密的自定义镜像去创建ECS实例，系统盘以及数据盘（如果有）会被自动加密，并且系统盘和数据盘的加密密钥与该镜像使用的密钥相同。创建ECS实例的具体操作，请参见自定义购买实例。

转换系统盘加密状态说明

转换系统盘加密状态与是否选择或者更换CMK有关，如下所示：

• 复制未加密的镜像时，未选择CMK，则使用目标镜像创建的系统盘的加密状态为未加密。

• 复制未加密的镜像时，选择了CMK，则目标镜像被加密，您需要使用选择的CMK访问使用目标镜像创建的ECS实例。

• 复制已加密的镜像时，未选择CMK，则目标镜像被加密，但您只需使用原有密钥访问使用目标镜像创建的ECS实例。

• 复制已加密的镜像时，选择了新的CMK，则目标镜像被加密，您必须使用新密钥访问使用目标镜像创建的ECS实例。

后续步骤

您可以使用加密后的镜像创建实例或更换系统盘：

• 使用自定义镜像创建实例

• 更换操作系统（非公共镜像）

相关文档

• CopyImage

• CancelCopyImage

• RunInstances

• ModifyImageSharePermission

• 加密系统盘

• 快照计费