工作原理

服務端加密支持選擇默認密鑰及用戶自行創建的用戶主密鑰，具體可選擇的密鑰類型如下。

密鑰創建者
密鑰類型
密鑰算法
服務版本
云產品
默認密鑰
AES_256（默認）
按需版&包周期版
用戶自行創建
用戶主密鑰-軟件
AES_256
按需版
用戶主密鑰-硬件
AES_256
SM4
按需版

在了解云硬盤加密工作原理之前，首先需要了解兩個概念：

• 默認密鑰
  • 系統為云產品自動創建的用于服務端加密的默認密鑰，默認密鑰與云產品對應，每個天翼云賬號下的每個云產品，在每個資源池支持創建1個默認密鑰。
  • 默認密鑰的別名定義為alias_<云產品代碼>，例如alias_ecs。
  • 默認密鑰的密鑰材料由KMS生成，不支持導入外部密鑰材料，同時不支持自動輪轉、啟用/禁用、刪除等操作。
• 用戶主密鑰
  • 云產品加密時，可選用戶在KMS服務中自建的用戶主密鑰，密鑰類型為對稱密鑰，算法支持AES_256、SM4，保護級別可選軟件保護、硬件保護。
  • 用戶主密鑰按照KMS按需及包周期版的服務標準資費進行計費，請您確保賬戶余額充足、到期前及時續費，避免KMS服務凍結，凍結后云產品無法進行正常的加解密操作，云產品可能會出現異常。
  • 用戶主密鑰支持計劃刪除，操作計劃刪除前請確保該密鑰非云產品加密使用的密鑰，避免誤刪除導致云產品無法正常加解密而出現異常。為避免誤刪，您可以為密鑰開啟刪除保護功能。

注意
當前云硬盤加密僅支持選擇按需版本中的自建用戶主密鑰，當前包周期版本中的用戶主密鑰暫不支持做云硬盤加密使用。
若您為2024年9月10日之后購買了KMS包周期服務，您可選擇使用默認密鑰進行云產品加密。

第一次使用加密云硬盤時，系統會自動創建一個用戶主密鑰（CMK），該密鑰有且僅有一個，且是在KMS中的相應地域所創建，并將其存儲在受嚴格的物理和邏輯安全控制保護的密鑰管理服務上。查看如何通過KMS實現服務端加密。

每個地域的加密云硬盤，都需要通過256位數據密鑰（DEK）進行加密，此數據密鑰（DEK）具備地域唯一性，即每個地域都有且僅有一個。該密鑰受 KMS 提供的密鑰管理基礎設施的保護，能有效防止未經授權的訪問。云硬盤的數據密鑰（DEK）僅在實例所在的宿主機的內存中使用，不會以明文形式存儲在任何持久化介質（即使是云硬盤本身）上。

在創建加密云硬盤并將其掛載到實例后，以下數據都將關聯此密鑰并進行加密：

• 云硬盤中的靜態數據
• 云硬盤和實例間傳輸的數據（實例操作系統內的數據不加密）
• 通過加密云硬盤創建的快照

創建加密云硬盤

加密數據盤的靈活度較高，用戶可以選擇跟隨彈性云主機一起購買，也可以在云硬盤管理控制臺上單獨購買，為其加密可以通過以下方法：

• 跟隨彈性云主機購買云硬盤時，用戶可在云硬盤高級屬性中選擇是否為其加密，當勾選加密屬性后，此云硬盤即可成功加密。系統盤只能跟隨彈性云主機一起訂購，因此只能在訂購云主機時選擇加密。
• 在云硬盤管理控制臺單獨購買一個空的數據盤，且不選擇其數據來源時，也可以在高級屬性設置中選擇其為加密數據盤，且購買成功后，用戶無法更改其加密屬性。
• 在云硬盤管理控制臺勾選數據來源購買一個數據盤，用戶可選擇的數據來源有備份與快照，此云硬盤的加密屬性和備份、快照的源云硬盤加密屬性保持一致。即快照與備份的源云硬盤是加密云硬盤，則此云硬盤也具有加密屬性。

創建云硬盤的具體操作步驟可參見創建云硬盤。

卸載加密云硬盤

若加密云硬盤使用的是用戶主密鑰，在卸載之前請確認云硬盤的用戶主密鑰是否可用。

• 若此加密云硬盤的用戶主密鑰是可用的，卸載云硬盤時，數據不會丟失，也可以正常重新掛載。
• 若此加密云硬盤的用戶主密鑰不可用，即使當前該云硬盤還可以正常讀寫，但是不能保證此云硬盤一直可以正常使用，且有可能造成重新掛載的失敗，因此用戶需要隨時確保用戶主密鑰的狀態，再進行卸載。

卸載加密云硬盤的具體操作請參見卸載云硬盤。

數據盤加密場景

數據盤可以跟隨彈性云主機一起購買，也可以單獨購買。數據盤是否加密主要涉及如下場景：

購買方式
數據源??
說明
隨彈性云主機一起購買數據盤
不選擇數據源
隨彈性云主機一起購買的空白數據盤，可以選擇加密或不加密。
創建完成后不可更改加密屬性。
?
單獨購買數據盤
不選擇數據源
創建的空白數據盤，可以選擇加密或不加密。
創建完成后不可更改加密屬性。?
從備份創建（備份源云硬盤加密）
通過加密云硬盤創建的備份屬性為加密。
使用加密備份作為數據源創建的云硬盤繼承備份的加密屬性和加密密鑰。?
從備份創建 （備份源云硬盤未加密）
通過未加密云硬盤創建的備份為未加密備份。
使用未加密備份作為數據源創建的云硬盤未加密。
從快照創建（快照源云硬盤加密）
通過加密云硬盤創建的快照為加密快照。
使用加密快照作為數據源創建的云硬盤繼承快照的加密屬性和加密密鑰。
從快照創建 （快照源云硬盤未加密）
通過未加密云硬盤創建的快照為未加密快照。
使用未加密快照作為數據源創建的云硬盤未加密。
從鏡像創建 （數據盤鏡像不支持加密）
僅未加密云硬盤可以創建數據盤鏡像。
使用未加密鏡像作為數據源創建的云硬盤未加密。

加密云硬盤相關限制

使用加密云硬盤時還需要注意以下限制：

限制項
限制說明
支持資源池
南寧23/華東1/南昌5/華南2/西安7/太原4/華北2/鄭州5/西南2-貴州/杭州7/慶陽2/呼和浩特3/長沙42/蕪湖4。
?
支持加密的云硬盤類型
普通IO、高IO、通用型SSD、超高IO。
?
其他限制項
云硬盤的加密屬性在云硬盤創建完成后不支持修改。
磁盤模式為SCSI或FCSAN的云硬盤不支持加密。
共享盤不支持加密。