华为云计算 云知识 弹性云服务器用户加密涉及哪些?
弹性云服务器用户加密涉及哪些?

用户加密,是指用户通过公有云平台提供的加密特性,对弹性云服务器资源进行加密,从而提升数据的安全性。用户加密功能包括 镜像 加密和 云硬盘 加密。

镜像加密

镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密,提升数据的安全性。

创建加密镜像的方法有两种:

  • 通过已有的加密弹性云服务器创建加密镜像

  • 通过外部镜像文件创建加密镜像

更多关于镜像加密的信息,请参见《 镜像服务 用户指南》。

云硬盘加密

云硬盘加密支持系统盘加密和数据盘加密。

  • 在创建弹性云服务器时,您可以对添加的数据盘进行加密。

  • 在创建弹性云服务器时,如果选择的镜像为加密镜像,那么系统盘默认开启加密功能,加密方式与镜像保持一致。

更多关于云硬盘加密的信息,请参见云硬盘加密

弹性伸缩 的影响

如果使用加密的弹性云服务器创建弹性伸缩配置,那么创建出来的伸缩配置,加密方式与原云服务器保持一致。

关于密钥

加密所需的密钥依赖于数据加密服务( DEW ,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key, DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key, CMK)对DEK进行加密,保护DEK,如图1所示。

图1 数据加密过程
弹性云服务器密钥数据加密过程

数据加密过程中涉及的几种密钥,如表1所示。

 

表1 密钥说明

名称

概念

功能

数据加密密钥

即DEK,是用户加密数据的加密密钥。

加密具体资源。

用户主密钥

即CMK,是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。

一个用户主密钥可以加密多个DEK。

支持禁用、计划删除等操作。

默认主密钥

属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。

例如:evs/default

  • 支持通过管理控制台KMS页面查询默认主密钥详情。

  • 不支持禁用、计划删除等操作。

说明: 

如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。

关于密钥管理的更多信息,请参见《数据加密服务用户指南》

上一篇:智慧厨电接入华为云+HarmonyOS,你的未来厨房长这样 下一篇:云迁移规划设计阶段概况

弹性云服务器 ECS

 

弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器,帮助用户打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率