EVS服务端加密_数据加密服务 DEW_最佳实践_云服务使用KMS加解密

简介

当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。

磁盘加密针对数据盘加密。系统盘的加密依赖于镜像，具体请参见IMS服务端加密。

哪些用户有权限使用云硬盘加密

• 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。
• 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分：
  • 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。
  • 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。

对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

云硬盘加密的密钥

加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)：

• 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。

  默认主密钥不支持禁用、计划删除等操作。

• 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见创建密钥。

使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见表1。

表1 用户主密钥不可用对加密云硬盘的影响

用户主密钥的状态	对加密云硬盘的影响	恢复方法
禁用	若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。	启用用户主密钥，具体请参见启用密钥。
计划删除		取消删除用户主密钥，具体请参见取消删除密钥。
已经被删除		云硬盘数据永远无法恢复。

用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

使用KMS加密云硬盘（控制台）

1. 在EVS管理控制台，单击“购买磁盘”。
2. 配置“加密”参数。
   1. 展开“更多”，出现“加密”勾选框。
      图1 展开更多
      
   2. 创建委托。

      勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。

      

      当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。

   3. 设置加密参数。
      勾选“加密”，若已经授权，会弹出“加密设置”对话框。

      图2 加密设置
      

      密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下：

      • 默认主密钥：成功授权EVS访问KMS，系统会创建默认主密钥“evs/default”。
      • 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。

3. 根据界面提示，配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。

使用KMS加密云硬盘（API）

用户也可以通过调用EVS API接口购买加密磁盘，详情请参考《云硬盘API参考》。