天翼云支持以下方式，助您對彈性云主機資源進行加密，從而提升數據的安全性。

云硬盤加密

天翼云云硬盤支持系統盤加密和數據盤加密。

云硬盤加密功能 ：創建云硬盤時，用戶可以選擇是否加密此云硬盤，云硬盤創建完成后加密屬性無法更改。

云主機系統盤加密 ：創建云主機時，支持在創建時直接設置系統盤加密。

云主機數據盤加密 ：創建云主機時，支持在創建時直接設置數據盤加密。

云硬盤加密與快照 ：加密云硬盤生成的快照及通過這些快照創建的云硬盤將自動繼承加密功能屬性。

云硬盤加密與備份 ：加密云硬盤生成的備份及通過這些備份創建的云硬盤將自動繼承加密功能屬性。

密鑰管理

天翼云使用行業標準的AES-256 算法，利用數據密鑰加密您的云硬盤數據，加密云硬盤使用的密鑰由天翼云自研密鑰管理（KMS，Key Management Service）功能提供，用戶可輕松創建并管理密鑰，滿足數據加解密及數字簽名驗簽等需求，安全便捷。

KMS通過使用硬件安全模塊HSM（Hardware Security Module）保護密鑰的安全，所有的用戶密鑰都由HSM中的根密鑰保護，避免密鑰泄露。KMS對密鑰的所有操作都會進行訪問控制及日志跟蹤，并提供所有密鑰的使用記錄，滿足審計和合規性要求。密鑰管理可以輕松滿足對小數據和大量數據的加解密。

工作原理

在了解云硬盤加密工作原理之前，首先需要了解兩個概念：

默認密鑰（Default CMK） ：用戶第一次通過對應云服務使用KMS加密時，系統自動生成的并托管在用戶賬號下的服務密鑰。

用戶主密鑰（Customer Master Key，CMK） ：用戶主密鑰包括對稱密鑰及非對稱密鑰，主要用于加密保護數據密鑰并產生信封，也可直接用于加密少量的數據。用戶可以調用KMS的API CreateKey創建一個用戶主密鑰。

第一次使用加密云硬盤時，系統會自動創建一個用戶主密鑰（CMK），該密鑰有且僅有一個，且是在KMS中的相應地域所創建，并將其存儲在受嚴格的物理和邏輯安全控制保護的密鑰管理服務上。

每個地域的加密云硬盤，都需要通過256位數據密鑰（DK）進行加密，此數據密鑰（DK）具備地域唯一性，即每個地域都有且僅有一個。該密鑰受 KMS 提供的密鑰管理基礎設施的保護，能有效防止未經授權的訪問。云硬盤的數據密鑰（DK）僅在實例所在的宿主機的內存中使用，不會以明文形式存儲在任何持久化介質（即使是云硬盤本身）上。

在創建加密云硬盤并將其掛載到實例后，以下數據都將關聯此密鑰并進行加密：

• 云硬盤中的靜態數據
• 云硬盤和實例間傳輸的數據（實例操作系統內的數據不加密）
• 通過加密云硬盤創建的快照

對彈性伸縮的影響

如果使用加密的彈性云主機創建彈性伸縮配置，通過伸縮配置創建的云主機，加密方式與原云主機保持一致。