加密原理

在ECS的加密過程中，云盤、鏡像和快照的加密都是采用行業標準的AES-256加密算法，并且通過密鑰管理服務KMS（Key Management Service）進行加密。加密密鑰采用雙層設計，并通過信封加密的機制實現對數據的加密，第一層為用戶的主密鑰CMK（Customer Master Key），第二層為根據主密鑰生成的數據密鑰DK（Data Key）。其中，主密鑰CMK用于對數據密鑰DK進行加解密操作和保護，數據密鑰DK用于對真實業務數據進行加解密操作和保護。加密流程和信封加密機制如下：

1. 加密數據密鑰DK。

   在使用數據密鑰DK之前，會用主密鑰CMK加密數據密鑰。加密后的數據密鑰（非明文）可以安全地與加密的業務數據一同存儲。這樣即使存儲介質被訪問，沒有CMK也無法解密數據密鑰。

2. 存儲和讀取加密數據。

   當需要讀取加密數據時，首先通過KMS請求解密數據密鑰。KMS驗證請求后，返回數據密鑰的明文形式，這一過程通常在內存中完成，不會存儲在任何存儲介質上。然后，使用管理程序在內存中的明文數據密鑰來解密云盤I/O操作中的數據。

更多信息，請參見云產品集成KMS加密概述。

加密密鑰

• 密鑰類型

  KMS提供默認密鑰（服務密鑰）、默認密鑰（主密鑰）、軟件密鑰等多種密鑰類型供云產品使用。當您希望對ECS實例中的某些資源進行加密時，可以選擇使用服務密鑰進行加密，也可以選擇使用自行創建或管理的用戶主密鑰進行加密。關于密鑰類型的更多說明，請參見密鑰服務概述。

  • 服務密鑰

    您首次在一個地域加密云盤時，系統會自動在當前地域KMS中創建一個專為ECS使用的服務密鑰。每個用戶在每個地域的服務密鑰是唯一的，由云產品創建和管理。服務密鑰可以幫助您獲得最基本的數據保護能力，但是對于高安全要求級別的場景，服務密鑰可能存在一些密鑰管理上的短板，例如不能自主管理密鑰的生命周期。

    ECS使用的服務密鑰別名為：

    • 華北5（呼和浩特）、華北6（烏蘭察布）、華南2（河源）、西南1（成都）4個地域：alias/acs/ecs

    • 其他地域：Default Service CMK

  • 主密鑰

    您可以選擇自己創建或者上傳主密鑰到KMS，并且管理主密鑰的生命周期。使用主密鑰可以獲得更多的安全能力。您可以禁用或啟用密鑰、通過KMS導入自帶的密鑰等操作進一步增強密鑰生命周期管理能力和控制ECS數據加解密的能力。創建密鑰、禁用密鑰等操作，請參見管理密鑰。

• 密鑰規格

  KMS支持常見的對稱密鑰規格和非對稱密鑰規格，以保證數據加密的安全性。使用主密鑰創建加密云盤、復制加密快照或加密鏡像時，僅支持使用對稱密鑰規格的密鑰。更多信息，請參見密鑰管理類型和密鑰規格。

• 密鑰輪轉

  • 在ECS的加密最佳實踐中建議不要廣泛重復使用加密密鑰，建議您使用KMS的密鑰輪轉功能來加強密鑰使用的安全性。

  • 啟用密鑰輪轉只會對新的加密資源（云盤、快照或鏡像）使用新的密鑰材料進行加密，存量的加密資源不會受到影響。

  • 僅由KMS生成密鑰材料的對稱密鑰支持輪轉，自行導入密鑰材料的密鑰（BYOK）不支持輪轉。

  更多信息，請參見密鑰輪轉。

如何證明數據落盤已加密

在云盤加密機制中，您對云盤數據是否加密是無感的，您可以按照以下思路來證明數據落盤存儲時是加密的。

1. 創建加密云盤時使用KMS主密鑰。具體操作，請參見如何加密云盤。

2. 禁用KMS主密鑰。具體操作，請參見管理密鑰。

3. 通過reboot命令重啟ECS實例。

由于加密云盤關聯的KMS加密密鑰失效，導致ECS實例無法重啟，系統盤出現IO hang，云盤無法進行讀寫操作，從而證明用戶數據在落盤存儲時是被加密的。

新建ECS實例或云盤時加密云盤

將存量非加密盤轉換為加密云盤

您可以通過以下幾種方式加密存量系統盤或數據盤。