云磁盘加密
高可靠数据存储 | 2022-09-19

概述

磁盘加密适用于数据安全或法规合规等场景,帮助您加密保护存储在百度云服务器 BCC 上的数据。开启磁盘加密时,您无需自建和维护密钥管理基础设施,即可保护数据的隐私性和自主性,为业务数据提供安全边界。

功能介绍

磁盘加密采用行业标准的 AES-256 加密算法,通过调用您在百度智能云密钥管理服务(Key Management Service,KMS)中已创建的密钥对云磁盘进行加密。云磁盘加密支持的 KMS 密钥类型包括 BAIDU_AES_256,AES_128 和 AES_256 三种类型。在云磁盘加密/解密过程中,实例的性能几乎没有衰减。

加密方式

若您希望为数据盘加密,您可以在创建云服务器 BCC 或创建 CDS 云磁盘时开启云磁盘加密;若您希望为系统盘加密,您需要先创建加密自定义镜像,然后创建加密系统盘。

  • 若您已经开通 KMS 服务并在 KMS 的相同地域中创建了符合条件的密钥类型(BAIDU_AES_256,AES_128 和 AES_256),您可以直接使用该 KMS 密钥为云磁盘加密;

  • 若您还未开通 KMS 服务,或者您在该地域中还没有创建符合条件的 KMS 密钥类型,您需要先前往 KMS 控制台创建密钥;

  • 当您第一次为云磁盘加密时,您需要授权 CDS 访问和调用您存储在 KMS 中的密钥。CDS 只会获取公开的 KMS 主密钥(Customer Master Key,CMK),不会也无法获取您已加密的磁盘数据;

  • 磁盘加密不会产生额外的费用,但是 KMS 服务会产生密钥保管费用。同时,KMS 为每一位用户提供给了一定的免费调用额度,当 KMS 调用次数超出免费额度时,会产生 KMS 调用费用,详情请查看 KMS 计费说明

  • 加密/解密操作自动触发,您在使用过程中无需手动操作。

说明:

  • 使用 KMS 中某一 CMK 加密某一云磁盘后,云磁盘中的数据都使用该主密钥进行加密,不会也无法变更。同时,云磁盘的所有快照(自定义镜像)以及从这些快照(自定义镜像)生成的新的数据盘(系统盘)也将关联该 CMK。CMK 仅在您的 BCC 实例所在的宿主机的内存中使用,不会以明文形式存储在任何存储介质上。CMK 存储在 KMS 提供的密钥管理基础设施中,实施强物理安全和逻辑安全保护,禁止未经授权的访问。

加密数据范围

当创建加密磁盘并挂载到云服务器后,以下数据将被加密:

  • 该 CDS 云磁盘中的静态数据

  • 该 CDS 云磁盘和实例间传输的数据

  • 该 CDS 云磁盘创建的所有自动和手动快照

  • 由加密快照生成的新的 CDS 云磁盘

支持的实例类型

  • 支持所有在售的云服务器实例规格;

  • 支持所有在售云磁盘类型,包括通用型SSD、高性能云磁盘、高吞吐HDD、通用型HDD和上一代云磁盘,不支持本地盘。

使用限制

云磁盘的加密功能具有以下限制:

限制类型说明
密钥限制暂不支持在创建云磁盘时自动创建新的 KMS 密钥,您需先前往 KMS 控制台手动创建 KMS 密钥后再创建加密磁盘
磁盘未释放前,不建议您删除或禁用已关联的 KMS 密钥( KMS 支持禁用或删除已关联产品的 KMS 密钥)。若您删除或禁用 KMS 密钥,将导致加密磁盘无法解密,进而导致磁盘无法挂载、快照无法回滚、无法根据快照创建新的 CDS 云磁盘等操作,请您谨慎操作
加密云磁盘一旦创建,包括该加密云磁盘、加密云磁盘创建的加密快照、加密自定义镜像、加密快照生成的新的 CDS 云磁盘、加密自定义镜像创建的新的系统盘等在内的数据都将会使用同一 KMS 密钥进行加密,且该 KMS 密钥不支持变更
状态变更限制不支持加密云磁盘变更为非加密云磁盘
不支持非加密云磁盘变更为加密云磁盘
已经存在的非加密云磁盘创建的非加密快照,不支持变更为加密快照
已经存在的加密云磁盘创建的加密快照,不支持变更为非加密快照
已经存在的非加密自定义镜像,不支持变更为加密自定义镜像
已经存在的加密自定义镜像,不支持变更为非加密自定义镜像
使用限制已加密的快照不支持进行跨区域复制
实例快照创建时,若包含加密云磁盘,则该加密云磁盘创建的磁盘快照自动加密
若为系统盘自定义镜像加密,则不支持在创建镜像时关联数据盘;若创建镜像时关联数据盘,则不支持为系统盘自定义镜像加密
地域限制目前支持对华北-北京和华南-广州的 CDS 云磁盘进行加密,其他地域暂不支持