当您的业务因为安全或合规要求等原因,需要对存储在云硬盘上的数据进行加密保护时,您可以开启云硬盘加密功能,使用 腾讯云密钥管理服务(KMS) 提供的基础设施有效保护数据的隐私性。
注意:当前云硬盘加密功能为试用阶段,如有需要请通过 在线支持 进行申请。
腾讯云使用行业标准的 AES-256 算法,利用数据密钥加密您的云硬盘数据。第一次使用加密云硬盘时,系统会为您在 KMS 中的相应地域自动创建一个专门为云硬盘加密使用的用户主密钥(CMK)。该自动创建的密钥有且仅有一个,并存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。
每个地域的加密云硬盘,都使用对应地域下唯一的256位数据密钥(DK)进行加密。通过加密云硬盘创建的快照,以及使用这些加密快照创建的加密云硬盘均关联该密钥。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DK)仅在实例所在的宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
当您设置云硬盘为加密云硬盘时,KMS 对数据进行加密,并在读取数据时自动解密。加解密过程在云服务器实例所在的宿主机上运行,对云硬盘读写性能几乎没有影响,可参考 如何衡量云硬盘的性能 进行云硬盘的性能测试。
在创建加密云硬盘并将其挂载到实例后,系统将对以下数据进行加密:
云硬盘的加密功能具有以下限制:
限制类型 | 说明 |
---|---|
云硬盘相关限制 |
|
快照、镜像相关限制 |
|
其他限制 |
|
云硬盘加密功能及所使用的 CMK 均不产生额外的费用,对云硬盘中数据的读写操作也不会产生额外的费用。但涉及加密云硬盘的管理操作时,无论通过控制台还是使用 API 进行加密云硬盘管理操作,均会以 API 的形式使用 KMS,并计入您在该地域下的 KMS 调用次数。KMS 本身按调用次数收费,计费详情请参考 密钥管理服务计费概述。
对加密云硬盘的管理操作包括:
说明:请保证您的账户余额充足,否则会出现操作失败。
您可通过以下三种方式创建加密云硬盘:
说明:若您是第一次在该地域下使用加密云硬盘,您需要首先对密钥管理服务进行授权。
请参考 从快照创建云硬盘,选择加密快照创建云硬盘,即可创建已包含相关数据且加密的云硬盘。
可使用 CreateDisks 接口 通过以下两种方式创建加密云硬盘:
Encrypt
为 true
。SnapshotId
。如果您需要对云硬盘现有数据从非加密状态转换为加密状态,建议您使用 Linux 下的 rsync
命令或者 Windows 下的 robocopy
命令,将数据从非加密盘上复制到新创建的加密盘上。
如果您需要对云硬盘现有数据从加密状态转换为非加密状态,则建议您使用相同命令将数据从加密盘上复制到新创建的非加密盘上。
本页内容是否解决了您的问题?