[New Feature]阿里云云盘支持BYOK加密

  • 时间:
  • 浏览:5
  • 来源:彩神大发11选5_神彩大发11选5官方

    云盘加密采用AES256机制,授权的用户在控制台取舍指定CMK ID时,ECS服务通过角色扮演方法 ,向KMS请求一对明文密钥以及密文密钥,ECS服务在获取密钥对后,将密文密钥保存至云盘meta信息中。此后,每次挂载云盘不可能 重启ECS实例时,ECS服务向kms服务获取明文密钥,并将该密钥用于每个I/O加密操作。

当前阿里云云盘服务仅支持AES256加密机制。后续我们我们我们我们我们我们 也会逐步演进并支持更多国密算法。

• 当前所有的云盘类型均支持加密

• 目前不直接支持系统盘加密,不可能 要针对系统盘加密,则需用通过镜像加密方法 完成

• 加密会影响云盘的IO性能,IO密集型场景请根据实际情况报告评估不是开启云盘加密功能

• 针对加密云盘创建的快照,默认也是加密情况报告,但是 使用与云盘相同的加密密钥

    当前阿里云云盘提供KMS加密方案,您除了还需用使用默认服务密钥外,还还需用使用前一天在KMS服务中创建好的CMK进行加密。整个云盘加密过程不是在ECS端完成,可确保静态数据安全以及ECS实例与后端块存储集群之间传输数据的安全性。

云盘服务默认会在每个region创建4个 阿里云托管的KM密钥(Default Service CMK),您还需用使用该默认托管的密钥进行加密,也还需用取舍前一天在KMS服务中创建的CMK ID。我们我们我们我们我们我们 建议您使用指定的CMK 进行加密,本来更加灵活以及便于管理(包括密钥轮转,密钥激活等)

如下图所示,授权的 用户在创建云盘时,还需用取舍指定的CMK 进行加密。