加密概述
更新时间:2024-06-11
概述
磁盘加密适用于数据安全或法规合规等场景,帮助您保护存储在百度智能云服务器 BCC 上的数据不被窃取或泄露。开启磁盘加密时,您无需自建和维护密钥管理基础设施,即可保护数据的隐私性和自主性,为业务数据提供安全边界。
功能介绍
磁盘加密采用行业标准的 AES-256 加密算法,通过调用您在百度智能云密钥管理服务(Key Management Service,KMS)中已创建的密钥对云磁盘进行加密。云磁盘加密支持的 KMS 密钥类型包括 BAIDU_AES_256,AES_128 和 AES_256 三种类型。在云磁盘加密/解密过程中,实例的性能几乎没有衰减。
加密方式
若您希望为数据盘加密,您可以在创建云服务器 BCC 或创建 CDS 云磁盘时开启云磁盘加密;
若您希望为系统盘加密,您需要先创建加密自定义镜像,然后创建加密系统盘。
- 若您已经开通 KMS 服务并在 KMS 的相同地域中创建了符合条件的密钥类型(BAIDU_AES_256,AES_128 和 AES_256),您可以直接使用该 KMS 密钥为云磁盘加密;
- 若您还未开通 KMS 服务,或者您在该地域中还没有创建符合条件的 KMS 密钥类型,您需要先前往 KMS 控制台创建密钥;
- 当您第一次为云磁盘加密时,您需要授权 CDS 访问和调用您存储在 KMS 中的密钥。CDS 只会获取公开的 KMS 主密钥(Customer Master Key,CMK),不会也无法获取您已加密的磁盘数据;
- 磁盘加密不会产生额外的费用,但是 KMS 服务会产生密钥保管费用。同时,KMS 为每一位用户提供给了一定的免费调用额度,当 KMS 调用次数超出免费额度时,会产生 KMS 调用费用,详情请查看 KMS 计费说明;
- 加密/解密操作自动触发,您在使用过程中无需手动操作;
说明:
- 使用 KMS 中某一 CMK 加密某一云磁盘后,云磁盘中的数据都使用该主密钥进行加密,不会也无法变更。同时,云磁盘的所有快照(自定义镜像)以及从这些快照(自定义镜像)生成的新的数据盘(系统盘)也将关联该 CMK。CMK 仅在您的 BCC 实例所在的宿主机的内存中使用,不会以明文形式存储在任何存储介质上。CMK 存储在 KMS 提供的密钥管理基础设施中,实施强物理安全和逻辑安全保护,禁止未经授权的访问。
加密数据范围
当创建加密磁盘并挂载到云服务器后,以下数据将被加密:
- 该 CDS 云磁盘中的静态数据;
- 该 CDS 云磁盘和实例间传输的数据;
- 该 CDS 云磁盘创建的所有自动和手动快照;
- 由加密快照生成的新的 CDS 云磁盘;
支持的实例类型
- 支持所有在售的云服务器实例规格;
- 支持所有在售云磁盘类型,包括通用型SSD、高性能云磁盘、高吞吐HDD、通用型HDD和上一代云磁盘,不支持本地盘;
使用限制
云磁盘的加密功能具有以下限制:
| 限制类型 | 说明 |
|---|---|
| 密钥限制 | 暂不支持在创建云磁盘时自动创建新的 KMS 密钥,您需先前往 KMS 控制台手动创建 KMS 密钥后再创建加密磁盘 |
| 磁盘未释放前,不建议您删除或禁用已关联的 KMS 密钥( KMS 支持禁用或删除已关联产品的 KMS 密钥)。若您删除或禁用 KMS 密钥,将导致加密磁盘无法解密,进而导致磁盘无法挂载、快照无法回滚、无法根据快照创建新的 CDS 云磁盘等操作,请您谨慎操作 | |
| 加密云磁盘一旦创建,包括该加密云磁盘、加密云磁盘创建的加密快照、加密自定义镜像、加密快照生成的新的 CDS 云磁盘、加密自定义镜像创建的新的系统盘等在内的数据都将会使用同一 KMS 密钥进行加密,且该 KMS 密钥不支持变更 | |
| 状态变更限制 | 不支持加密云磁盘变更为非加密云磁盘 |
| 不支持非加密云磁盘变更为加密云磁盘 | |
| 已经存在的非加密云磁盘创建的非加密快照,不支持变更为加密快照 | |
| 已经存在的加密云磁盘创建的加密快照,不支持变更为非加密快照 | |
| 已经存在的非加密自定义镜像,不支持变更为加密自定义镜像 | |
| 已经存在的加密自定义镜像,不支持变更为非加密自定义镜像 | |
| 使用限制 | 已加密的快照不支持进行跨区域复制 |
| 实例快照创建时,若包含加密云磁盘,则该加密云磁盘创建的磁盘快照自动加密 | |
| 本地盘磁盘类型不支持加密 | |
| 若为系统盘自定义镜像加密,则不支持在创建镜像时关联数据盘;若创建镜像时关联数据盘,则不支持为系统盘自定义镜像加密 | 地域限制 | 目前支持对华北-北京和华南-广州的 数据盘及快照进行加密,其他地域暂不支持 |
| 目前支持对华北-北京的 系统盘及镜像进行加密,其他地域暂不支持 |