在复制镜像时,您可以选择加密自定义镜像,使用该自定义镜像创建的系统盘以及数据盘(如果有)会被自动加密,并且系统盘和数据盘的加密密钥与该镜像使用的密钥相同。加密密钥可以是系统自建的密钥(CMK),也可以是您导入的密钥(BYOK)。
背景信息
在控制台复制镜像时加密系统盘
调用CopyImage时加密系统盘
以下示例使用阿里云CLI调用API CopyImage,指定一个KMSKeyId来加密系统盘。
aliyun ecs CopyImage --RegionId cn-hongkong \
--ImageId m-bp155shrycg3s0****** --DestinationRegionId cn-shenzhen \
--Encrypted true --KMSKeyId e522b26d-abf6-4e0d-b5da-04b7******3c \
--Tag.N.Key EcsDocumentation
转换加密状态
- 复制未加密的镜像时,未选择CMK,则使用目标镜像创建的系统盘的加密状态为未加密。
- 复制未加密的镜像时,选择了CMK,则目标镜像被加密,您需要使用选择的CMK访问使用目标镜像创建的ECS实例。
- 复制已加密的镜像时,未选择CMK,则目标镜像被加密,但您只需使用原有密钥访问使用目标镜像创建的ECS实例。
- 复制已加密的镜像时,选择了新的CMK,则目标镜像被加密,您必须使用新密钥访问使用目标镜像创建的ECS实例。