【產(chǎn)品技術(shù)】加密系列01：EVS服務(wù)端

出于業(yè)務(wù)需求需要對存儲在云硬盤的數(shù)據(jù)進(jìn)行加密時，EVS可提供加密功能，對新創(chuàng)建的云硬盤進(jìn)行加密。加密云硬盤使用的密鑰由數(shù)據(jù)加密服務(wù)（DEW，Data Encryption Workshop）中的密鑰管理（KMS，Key Management Service）功能提供，無需自行構(gòu)建和維護(hù)密鑰管理基礎(chǔ)設(shè)施，安全便捷。

磁盤加密針對數(shù)據(jù)盤加密，系統(tǒng)盤的加密依賴于鏡像。

哪些用戶有權(quán)限使用云硬盤加密

安全管理員（擁有“Security ? ? ?Administrator”權(quán)限）可以直接授權(quán)EVS訪問KMS，使用加密功能。

普通用戶（沒有“Security ? ? ?Administrator”權(quán)限）使用加密功能時，根據(jù)該普通用戶是否為當(dāng)前區(qū)域或者項目內(nèi)第一個使用加密特性的用戶，

作如下區(qū)分：

是，即該普通用戶是當(dāng)前區(qū)域或者項目內(nèi)第一個使用加密功能的，需先聯(lián)系安全管理員進(jìn)行授權(quán)，然后再使用加密功能。

否，即區(qū)域或者項目內(nèi)的其他用戶已經(jīng)使用過加密功能，該普通用戶可以直接使用加密功能。

對于一個租戶而言，同一個區(qū)域內(nèi)只要安全管理員成功授權(quán)EVS訪問KMS，則該區(qū)域內(nèi)的普通用戶都可以直接使用加密功能。

如果當(dāng)前區(qū)域內(nèi)存在多個項目，則每個項目下都需要安全管理員執(zhí)行授權(quán)操作。

云硬盤加密的密鑰

加密云硬盤使用KMS提供的密鑰，包括默認(rèn)主密鑰和用戶主密鑰 (CMK，Customer Master Key)：

默認(rèn)主密鑰：由EVS通過KMS自動創(chuàng)建的密鑰，名稱為“evs/default”。

默認(rèn)主密鑰不支持禁用、計劃刪除等操作。

用戶主密鑰：由用戶自己創(chuàng)建的密鑰，您可以選擇已有的密鑰或者新創(chuàng)建密鑰，具體請參見創(chuàng)建密鑰。

使用用戶主密鑰加密云硬盤，若對用戶主密鑰執(zhí)行禁用、計劃刪除等操作，將會導(dǎo)致云硬盤不可讀寫，甚至數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

用戶主密鑰不可用對加密云硬盤的影響

用戶主密鑰的狀態(tài)

對加密云硬盤的影響

恢復(fù)方法

禁用

若加密云硬盤此時掛載至云服務(wù)器，則該云硬盤仍可以正常使用，但不保證一直可以正常讀寫。

若卸載加密云硬盤后，再重新掛載至云服務(wù)器將會失敗。

啟用用戶主密鑰，具體請參見啟用密鑰。

啟用用戶主密鑰，具體請參見啟用密鑰。

計劃刪除

取消刪除用戶主密鑰，具體請參見取消刪除密鑰。

取消刪除用戶主密鑰，具體請參見取消刪除密鑰。

已經(jīng)被刪除

云硬盤數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

用戶主密鑰為付費使用，若為按需計費的密鑰，請及時充值確保帳戶余額充足，若為包年/包月的密鑰，請及時續(xù)費，以避免加密云硬盤不可讀寫導(dǎo)致業(yè)務(wù)中斷，甚至數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

使用KMS加密云硬盤

配置“加密”參數(shù)

創(chuàng)建委托

勾選“加密”，如果當(dāng)前未授權(quán)EVS訪問KMS，則會彈出“創(chuàng)建委托”對話框，單擊“是”，授權(quán)EVS訪問KMS，當(dāng)授權(quán)成功后，EVS可以獲取KMS密鑰用來加解密云硬盤。

當(dāng)需要使用云硬盤加密功能時，需要授權(quán)EVS訪問KMS。如果有授權(quán)資格，則可直接授權(quán)。如果權(quán)限不足，需先聯(lián)系擁有“Security Administrator”權(quán)限的用戶授權(quán)，然后再重新操作。

設(shè)置加密參數(shù)。

勾選“加密”，若已經(jīng)授權(quán)，會彈出“加密設(shè)置”對話框。

密鑰名稱是密鑰的標(biāo)識，可以通過“密鑰名稱”下拉框選擇需要使用的密鑰。可以選擇使用的密鑰如下：

默認(rèn)主密鑰：成功授權(quán)EVS訪問KMS，系統(tǒng)會創(chuàng)建默認(rèn)主密鑰“evs/default”。

用戶主密鑰：即您已有的密鑰或者新創(chuàng)建密鑰，具體請參見創(chuàng)建密鑰。

根據(jù)界面提示，配置云硬盤的其他基本信息。

使用KMS加密云硬盤（API）

也可以通過調(diào)用EVS API接口購買加密磁盤。

云硬盤 EVS 安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。