Шифрование дисков
Диски EVS можно зашифровать с помощью сервиса Data Encryption Workshop (DEW).
Ключи, используемые для шифрования диска
Ключи, предоставляемые Key Management Service, включают:
Default Master Key — мастер-ключ по умолчанию, который автоматически создается через KMS и называется evs/default. Default Master Key не может быть отключен и удален по расписанию.
Customer Master Keys (CMK) — ключи, которые создают пользователи. Можно использовать уже существующий CMK или создать новый, чтобы зашифровать диски.
См.такжеПодробнее о создании CMK смотрите в инструкции Data Encryption Workshop.
Если CMK отключен или запланирован для удаления, то диски, зашифрованные с помощью этого CMK, не будут доступны к чтению или записи, а данные на этих дисках невозможно будет восстановить.
Статус СМК | Влияние | Процедура восстановления |
---|---|---|
Отключено |
| |
Удалено по расписанию |
| |
Удалено |
| Данные на дисках не могут быть восстановлены. |
Шифрование дисков, бэкапов и снапшотов
Системные диски, диски с данными, бэкапы и снапшоты можно зашифровать:
-
Шифрование системного диска относится к образу, который используется для создания сервера.
Если для создания сервера используется зашифрованный образ, шифрование для системного диска включено по умолчанию, а системный диск и образ используют один и тот же метод шифрования.
См.такжеПодробнее смотрите в разделе Encrypting Images сервиса Image Management Service.
-
При создании пустого диска можно определить, следует ли его шифровать. Атрибут шифрования диска нельзя изменить после создания диска.
-
Если диск создается из снапшота, атрибут шифрования диска будет таким же, как у снапшота исходного диска.
-
Если диск создается из бэкапа, атрибут шифрования диска будет таким же, как и у бэкапа исходного диска.
-
Если снапшот создается для диска, атрибут шифрования снапшота такой же, как и у диска.
Создание зашифрованного диска EVS
Перед использованием функции шифрования диска необходимо предоставить пользователю права доступа KMS.
Отключение зашифрованного диска
Перед отключением диска EVS, зашифрованного с помощью CMK, проверьте, отключен ли CMK или запланировано ли его удаление.
Подробнее о том, как отключить зашифрованный диск, смотрите в разделе Detaching a Data Disk.
- Ключи, используемые для шифрования диска
- Шифрование дисков, бэкапов и снапшотов
- Создание зашифрованного диска EVS
- Отключение зашифрованного диска