当您由于业务需求从而需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。

EVS加密采用行业标准的XTS-AES-256加密算法，利用密钥加密云硬盘。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块（HSM，Hardware Security Module），从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。

须知：

已经购买完成的云硬盘不支持更改加密属性。

创建加密云硬盘的具体操作请参见购买云硬盘。

对于一个租户而言，区域以及项目下的用户关系示意图如图1所示。以区域B为例，根据首次使用加密功能的用户是否拥有“Security Administrator”权限分为以下两个场景：

如果安全管理员首次使用加密功能，则操作流程如下：

1、授权EVS访问KMS。

授权成功后，系统会为您创建默认主密钥“evs/default”，此密钥用来加密云硬盘。

说明：云硬盘的加密依赖KMS，首次使用加密功能时，需要授权EVS访问KMS。当授权成功后，用户组中的所有用户使用加密功能均无需再次进行授权操作。

2、选择密钥。

您可以选择使用的密钥如下：

1. 默认主密钥“evs/default”。
2. 用户主密钥，即您在使用云硬盘加密功能前已经创建的密钥，或者新创建密钥，创建方法请参见创建密钥。

安全管理员成功使用加密功能后，则区域B中的所有用户都可以直接使用加密功能。

如果是用户E（普通用户）首次使用加密功能，则操作流程如下：

1、用户E使用加密功能，系统提示权限不足，无法授权EVS访问KMS。

2、联系安全管理员，让安全管理员授权EVS访问KMS。

授权成功后，用户E以及区域B中的所有用户都可以直接使用加密功能，无需再联系安全管理员进行授权。