[New Feature]阿里云云盘支持BYOK加密-阿里云开发者社区

开发者社区> 陈鹏飞Figo Chen> 正文

[New Feature]阿里云云盘支持BYOK加密

简介:
+关注继续查看

1.云盘加密介绍

    当前阿里云云盘提供KMS加密方案,您除了可以使用默认服务密钥外,还可以使用事先在KMS服务中创建好的CMK进行加密。整个云盘加密过程都是在ECS端完成,可确保静态数据安全以及ECS实例与后端块存储集群之间传输数据的安全性。

2.加密原理

    云盘加密采用AES256机制,授权的用户在控制台选择指定CMK ID时,ECS服务通过角色扮演方式,向KMS请求一对明文密钥以及密文密钥,ECS服务在获取密钥对后,将密文密钥保存至云盘meta信息中。此后,每次挂载云盘或者重启ECS实例时,ECS服务向kms服务获取明文密钥,并将该密钥用于每个I/O加密操作。
当前阿里云云盘服务仅支持AES256加密机制。后续我们也会逐步演进并支持更多国密算法。
image

3.使用限制

• 当前所有的云盘类型均支持加密
• 目前不直接支持系统盘加密,如果要针对系统盘加密,则需要通过镜像加密方式完成
• 加密会影响云盘的IO性能,IO密集型场景请根据实际情况评估是否开启云盘加密功能
• 针对加密云盘创建的快照,默认也是加密状态,并且使用与云盘相同的加密密钥

4.控制台操作

云盘服务默认会在每个region创建1个阿里云托管的KM密钥(Default Service CMK),您可以使用该默认托管的密钥进行加密,也可以选择事先在KMS服务中创建的CMK ID。我们建议您使用指定的CMK 进行加密,这样更加灵活以及便于管理(包括密钥轮转,密钥激活等)
如下图所示,授权的 用户在创建云盘时,可以选择指定的CMK 进行加密。
image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Mina 在 Spring 中配置同时支持 SSL 加密连接和非 SSL 连接
iOS 的 socket ,那是在很久以前用过,当时编写确实费了一番周折,要忍受 SDK 的不完善。 之后,一直是 Web 服务器支撑着 http 与 https 实现 RestFul 或。。。 那么好吧,有需要,就行动,重新写一遍,也好过找那三块笔记本硬盘里成堆的工程代码, 目前 SSL 的证...
944 0
后疫情时代,用数据支持业务恢复创造新的可能性
2020年可以说每一天都在见证历史,新冠疫情的突然造访就如同“黑天鹅”不期而至,而企业现在还不开始数字化转型就如同“灰犀牛”存在潜在风险,当下在黑天鹅和灰犀牛的夹击下,经济和市场都产生了巨大的影响。
815 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4330 0
支持横竖屏切换的.Net Micro Framework模拟器
从.Net Micro Framework V3.0开始,就一直期待美国团队能推出横竖屏切换功能的模拟器,但直到V4.0的推出也没有实现该功能。
542 0
30
文章
0
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载