什么是 ECS 磁盘加密

当您的业务因为业务需要或者认证需要，要求您对您存储在磁盘上的数据进行加密，阿里云 ECS 磁盘加密功能能对云盘和共享块存储（以下简称 云盘，除非特别指出）加密，为您提供了一种简单的安全的加密手段，能够对您新创建的云盘进行加密处理。您无需构建、维护和保护自己的密钥管理基础设施，您也无需更改任何已有的应用程序和运维流程，无需做额外的加解密操作，磁盘加密功能对于您的业务是无感的。

加密解密的过程对于云盘的性能几乎没有衰减。关于性能测试方式，请参见 块存储性能。

在创建加密云盘并将其挂载到 ECS 实例后，将对以下类型的数据进行加密：

      •云盘和实例间传输的数据（实例操作系统内数据不再加密）

      •加密云盘创建的所有快照（加密快照）

加密解密是在 ECS 实例所在的宿主机上进行的，对从 ECS 实例传输到云盘的数据进行加密。

ECS 磁盘加密支持所有在售云盘（普通云盘、高效云盘和 SSD 云盘）和共享块存储（高效和SSD）。

ECS 磁盘加密支持所有在售的实例规格。所有地域都支持云盘的加密。

ECS 磁盘加密的依赖

ECS 磁盘加密功能依赖于同一地域的 密钥管理服务（Key Management Service，KMS)，但是您无需到密钥管理服务控制台做额外的操作，除非您有单独的 KMS 操作需求。

首次使用 ECS 磁盘加密功能（在 ECS 实例售卖页或者独立云盘售卖页）时，需要根据页面提示授权开通密钥管理服务（KMS），否则将无法购买带有加密磁盘的实例或者加密的独立云盘。

如果使用 API 或者 CLI 使用 ECS 磁盘加密功能，比如 CreateInstance、CreateDisk，您需要先在阿里云网站上开通密钥管理服务。

当您在一个地域第一次使用加密盘时，ECS 系统会为您在密钥管理服务（KMS）中的使用地域自动创建一个专为 ECS 使用的用户主密钥（CMK，Customer Master Key），这个用户主密钥，您将不能删除，您可以在密钥管理服务控制台上查询到该用户主密钥。

ECS 磁盘加密的密钥管理

ECS 磁盘加密功能会为您处理密钥管理。每个新创建云盘都使用一个唯一的 256 位密钥（来自于用户主密钥）加密。此云盘的所有快照以及从这些快照创建的后续云盘也关联该密钥。这些密钥受阿里云密钥管理基础设施的保护（由密钥管理服务提供），这将实施强逻辑和物理安全控制以防止未经授权的访问。您的数据和关联的密钥使用行业标准的 AES-256 算法进行加密。

您无法更改与已经加密了的云盘和快照关联的用户主密钥（CMK）。

阿里云整体密钥管理基础设施符合(NIST) 800-57 中的建议，并使用了符合 (FIPS) 140-2 标准的密码算法。

每个阿里云 ECS 账号在每个地域都具有一个唯一的用户主密钥（CMK），该密钥与数据分开，存储在一个受严格的物理和逻辑安全控制保护的系统上。每个加密盘及其后续的快照都使用磁盘粒度唯一的加密密钥（从该用户该地域的用户主密钥创建而来），会被该地域的用户主密钥（CMK）加密。磁盘的加密密钥仅在您的 ECS 实例所在的宿主机的内存中使用，永远不会以明文形式存储在任何永久介质（如磁盘）上。