华为云服务器用户加密_云淘科技

用户加密,是指用户通过提供的加密特性,对弹性云服务器资源进行加密,从而提升数据的安全性。用户加密功能包括镜像加密和云硬盘加密。

镜像加密

镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密,提升数据的安全性。

创建加密镜像的方法有两种:

通过外部镜像文件创建加密镜像
通过已有的加密弹性云服务器创建加密镜像

更多关于镜像加密的信息,请参见镜像加密。

云硬盘加密

云硬盘加密支持系统盘加密和数据盘加密。

在创建弹性云服务器时,如果选择的镜像为加密镜像,那么系统盘默认开启加密功能,加密方式与镜像保持一致。
在创建弹性云服务器时,您可以对添加的数据盘设置加密。

更多关于云硬盘加密的信息,请参见云硬盘加密。

对弹性伸缩的影响

如果使用加密的弹性云服务器创建弹性伸缩配置,那么创建出来的伸缩配置,加密方式与原云服务器保持一致。

关于密钥

加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key,DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key,CMK)对DEK进行加密,保护DEK,如图1所示。

图1 数据加密过程

数据加密过程中涉及的几种密钥,如表1所示。

表1 密钥说明

名称

概念

功能

数据加密密钥

即DEK,是用户加密数据的加密密钥。

加密具体资源。

自定义密钥

是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。

一个自定义密钥可以加密多个DEK。

支持禁用、计划删除等操作。

默认密钥

属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。

例如:evs/default

支持通过管理控制台DEW页面查询默认密钥详情。
不支持禁用、计划删除等操作。

如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。

关于密钥管理的更多信息,请参见《数据加密服务用户指南》。

父主题: 数据保护技术

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家