【產(chǎn)品技術(shù)】加密系列：EVS服務(wù)端

由于業(yè)務(wù)需求需要對(duì)存儲(chǔ)在云硬盤的數(shù)據(jù)進(jìn)行加密時(shí)，EVS提供加密功能，可以對(duì)新創(chuàng)建的云硬盤進(jìn)行加密。加密云硬盤使用的密鑰由數(shù)據(jù)加密服務(wù)（DEW，Data Encryption Workshop）中的密鑰管理（KMS，Key Management Service）功能提供，無需自行構(gòu)建和維護(hù)密鑰管理基礎(chǔ)設(shè)施，安全便捷。

磁盤加密針對(duì)數(shù)據(jù)盤加密。系統(tǒng)盤的加密依賴于鏡像。

哪些用戶有權(quán)限使用云硬盤加密

安全管理員（擁有“Security ? ? ?Administrator”權(quán)限）可以直接授權(quán)EVS訪問KMS，使用加密功能。

普通用戶（沒有“Security ? ? ?Administrator”權(quán)限）使用加密功能時(shí)，根據(jù)該普通用戶是否為當(dāng)前區(qū)域或者項(xiàng)目?jī)?nèi)第一個(gè)使用加密特性的用戶，作如下區(qū)分：

是，即該普通用戶是當(dāng)前區(qū)域或者項(xiàng)目?jī)?nèi)第一個(gè)使用加密功能的，需先聯(lián)系安全管理員進(jìn)行授權(quán)，然后再使用加密功能。

否，即區(qū)域或者項(xiàng)目?jī)?nèi)的其他用戶已經(jīng)使用過加密功能，該普通用戶可以直接使用加密功能。

對(duì)于一個(gè)租戶而言，同一個(gè)區(qū)域內(nèi)只要安全管理員成功授權(quán)EVS訪問KMS，則該區(qū)域內(nèi)的普通用戶都可以直接使用加密功能。

如果當(dāng)前區(qū)域內(nèi)存在多個(gè)項(xiàng)目，則每個(gè)項(xiàng)目下都需要安全管理員執(zhí)行授權(quán)操作。

云硬盤加密的密鑰

加密云硬盤使用KMS提供的密鑰，包括默認(rèn)主密鑰和用戶主密鑰 (CMK，Customer Master Key)：

默認(rèn)主密鑰：由EVS通過KMS自動(dòng)創(chuàng)建的密鑰，名稱為“evs/default”。

默認(rèn)主密鑰不支持禁用、計(jì)劃刪除等操作。

用戶主密鑰：由用戶自己創(chuàng)建的密鑰，您可以選擇已有的密鑰或者新創(chuàng)建密鑰。

使用用戶主密鑰加密云硬盤，若對(duì)用戶主密鑰執(zhí)行禁用、計(jì)劃刪除等操作，將會(huì)導(dǎo)致云硬盤不可讀寫，甚至數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

表1?用戶主密鑰不可用對(duì)加密云硬盤的影響

用戶主密鑰的狀態(tài)

對(duì)加密云硬盤的影響

恢復(fù)方法

禁用

若加密云硬盤此時(shí)掛載至云服務(wù)器，則該云硬盤仍可以正常使用，但不保證一直可以正常讀寫。

若卸載加密云硬盤后，再重新掛載至云服務(wù)器將會(huì)失敗。

啟用用戶主密鑰。

啟用用戶主密鑰。

計(jì)劃刪除

取消刪除用戶主密鑰。

取消刪除用戶主密鑰。

已經(jīng)被刪除

云硬盤數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

用戶主密鑰為付費(fèi)使用，若為按需計(jì)費(fèi)的密鑰，請(qǐng)及時(shí)充值確保帳戶余額充足，若為包年/包月的密鑰，請(qǐng)及時(shí)續(xù)費(fèi)，以避免加密云硬盤不可讀寫導(dǎo)致業(yè)務(wù)中斷，甚至數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。

勾選“加密”，如果當(dāng)前未授權(quán)EVS訪問KMS，則會(huì)彈出“創(chuàng)建委托”對(duì)話框，單擊“是”，授權(quán)EVS訪問KMS，當(dāng)授權(quán)成功后，EVS可以獲取KMS密鑰用來加解密云硬盤。

當(dāng)需要使用云硬盤加密功能時(shí)，需要授權(quán)EVS訪問KMS。如果您有授權(quán)資格，則可直接授權(quán)。如果權(quán)限不足，需先聯(lián)系擁有“Security Administrator”權(quán)限的用戶授權(quán)，然后再重新操作。

勾選“加密”，若已經(jīng)授權(quán)，會(huì)彈出“加密設(shè)置”對(duì)話框。

密鑰名稱是密鑰的標(biāo)識(shí)，您可以通過“密鑰名稱”下拉框選擇需要使用的密鑰。您可以選擇使用的密鑰如下：

默認(rèn)主密鑰：成功授權(quán)EVS訪問KMS，系統(tǒng)會(huì)創(chuàng)建默認(rèn)主密鑰“evs/default”。

用戶主密鑰：即您已有的密鑰或者新創(chuàng)建密鑰。

使用KMS加密云硬盤（API）：也可以通過調(diào)用EVS API接口購買加密磁盤。

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。