加密原理

在ECS的加密過程中，云盤、鏡像和快照的加密都是采用行業(yè)標(biāo)準(zhǔn)的AES-256加密算法，并且通過密鑰管理服務(wù)KMS（Key Management Service）進行加密。加密密鑰采用雙層設(shè)計，并通過信封加密的機制實現(xiàn)對數(shù)據(jù)的加密，第一層為用戶的主密鑰CMK（Customer Master Key），第二層為根據(jù)主密鑰生成的數(shù)據(jù)密鑰DK（Data Key）。其中，主密鑰CMK用于對數(shù)據(jù)密鑰DK進行加解密操作和保護，數(shù)據(jù)密鑰DK用于對真實業(yè)務(wù)數(shù)據(jù)進行加解密操作和保護。加密流程和信封加密機制如下：

1. 加密數(shù)據(jù)密鑰DK。

   在使用數(shù)據(jù)密鑰DK之前，會用主密鑰CMK加密數(shù)據(jù)密鑰。加密后的數(shù)據(jù)密鑰（非明文）可以安全地與加密的業(yè)務(wù)數(shù)據(jù)一同存儲。這樣即使存儲介質(zhì)被訪問，沒有CMK也無法解密數(shù)據(jù)密鑰。

2. 存儲和讀取加密數(shù)據(jù)。

   當(dāng)需要讀取加密數(shù)據(jù)時，首先通過KMS請求解密數(shù)據(jù)密鑰。KMS驗證請求后，返回數(shù)據(jù)密鑰的明文形式，這一過程通常在內(nèi)存中完成，不會存儲在任何存儲介質(zhì)上。然后，使用管理程序在內(nèi)存中的明文數(shù)據(jù)密鑰來解密云盤I/O操作中的數(shù)據(jù)。

更多信息，請參見云產(chǎn)品集成KMS加密概述。

加密密鑰

KMS的默認(rèn)密鑰包含服務(wù)密鑰和主密鑰。ECS默認(rèn)使用服務(wù)密鑰對用戶數(shù)據(jù)進行加密，也支持用戶在KMS上自定義主密鑰對用戶數(shù)據(jù)進行加密。關(guān)于密鑰的更多說明，請參見密鑰服務(wù)概述。

• 服務(wù)密鑰

  您首次在一個地域加密云盤時，系統(tǒng)會自動在當(dāng)前地域KMS中創(chuàng)建一個專為ECS使用的服務(wù)密鑰Default Service CMK（別名為alias/acs/ecs）。每個用戶在每個地域的服務(wù)密鑰是唯一的，您無法管理服務(wù)密鑰的生命周期。服務(wù)密鑰可以幫助您獲得最基本的數(shù)據(jù)保護能力。但是對于高安全要求級別的場景，服務(wù)密鑰可能存在一些密鑰管理上的短板，例如不能自主管理密鑰的生命周期。

• 主密鑰

  您可以選擇自己創(chuàng)建或者上傳主密鑰到KMS，并且管理主密鑰的生命周期。使用主密鑰可以獲得更多的安全能力。您可以禁用或啟用密鑰、通過KMS導(dǎo)入自帶的密鑰等操作進一步增強密鑰生命周期管理能力和控制ECS數(shù)據(jù)加解密的能力。主密鑰還支持密鑰輪轉(zhuǎn)的能力，可以加強密鑰使用的安全性，以提升業(yè)務(wù)數(shù)據(jù)的安全性。禁用密鑰、計劃刪除密鑰等操作，請參見管理密鑰。

  重要

  使用主密鑰創(chuàng)建加密云盤、復(fù)制加密快照或加密鏡像時，不支持非對稱密鑰。更多信息，請參見密鑰管理類型和密鑰規(guī)格。

如何證明數(shù)據(jù)落盤已加密

在云盤加密機制中，您對云盤數(shù)據(jù)是否加密是無感的，您可以按照以下思路來證明數(shù)據(jù)落盤存儲時是加密的。

1. 創(chuàng)建加密云盤時使用KMS主密鑰。具體操作，請參見如何加密云盤。

2. 禁用KMS主密鑰。具體操作，請參見管理密鑰。

3. 通過reboot命令重啟ECS實例。

由于加密云盤關(guān)聯(lián)的KMS加密密鑰失效，導(dǎo)致ECS實例無法重啟，系統(tǒng)盤出現(xiàn)IO hang，云盤無法進行讀寫操作，從而證明用戶數(shù)據(jù)在落盤存儲時是被加密的。

新建ECS實例或云盤時加密云盤

將存量非加密盤轉(zhuǎn)換為加密云盤

您可以通過以下幾種方式加密存量系統(tǒng)盤或數(shù)據(jù)盤。