云硬盘云硬盘加密

当您的业务因为安全或合规要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以开启云硬盘加密功能。云硬盘加密能力借由 腾讯云密钥管理服务（KMS） 提供的基础设施有效保护数据的隐私性。
注意：
当前云硬盘加密功能为试用阶段，如有需要请通过 在线支持 进行申请。
密钥管理
腾讯云使用行业标准的 AES-256 算法，利用 腾讯云密钥管理服务（KMS）提供的数据密钥加密您的云硬盘数据。第一次使用加密云硬盘时，系统会为您在 KMS 中的相应地域自动创建一个专门为云硬盘加密使用的用户主密钥（CMK）。自动创建的密钥有且仅有一个，并存储在受严格物理和逻辑安全控制保护的密钥管理服务上。
每个地域的加密云硬盘，都使用对应地域下唯一的 256 位数据密钥（DK）进行加密。通过加密云硬盘创建的快照，以及使用加密快照创建的加密云硬盘均关联该密钥。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所属宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。
工作原理
当您设置云硬盘为加密云硬盘时，腾讯云 CBS 产品使用 KMS 提供的唯一数据密钥（DK）对数据进行加密，并在读取数据时自动解密。加解密过程在云服务器实例所在的宿主机上运行，对低负载的云硬盘读写性能几乎没有影响，而在高负载的 I/O 密集型业务上对云硬盘的读写性能将产生一定影响。您可以参见 如何衡量云硬盘的性能 进行云硬盘性能测试。
创建加密云硬盘并将其挂载到实例后，系统将对以下数据进行加密：
云硬盘中的静态数据。
云硬盘和实例间传输的数据（实例操作系统内的数据不加密）。
使用加密云硬盘创建的所有快照。
加密类型
当前腾讯云云硬盘支持两种加密类型：
加密类型
适用的实例类型
兼容性
一代加密（V1）
通用型 S1-S4
通用型 SA1
内存型 M1-M4
计算型 C1-C4
少量通用型 S5、SA2
与仅支持二代加密的机型不兼容
二代加密（V2）
通用型 S5 及更高代次的实例类型
通用型 SA2 及更高代次的实例类型
内存型 M5 及更高代次的实例类型
计算型 C5 及更高代次的实例类型
绝大部分支持云硬盘的 GPU 实例类型
与仅支持一代加密的机型不兼容
注意：
与实例一同创建加密云硬盘时，会自动根据实例类型选择云硬盘加密类型，无需您自行指定。
当单独创建加密云硬盘时，我们强烈建议您选择创建并挂载至已有实例，此时会自动根据实例类型选择云硬盘加密类型，无需您自行指定。若您选择创建云硬盘不挂载至实例，您需要自行指定云硬盘加密类型，指定后该云硬盘仅能挂载至适用的实例代次上。
使用限制
云硬盘的加密功能具有以下限制：
限制类型
说明
地域限制
仅北京、上海、广州、中国香港、新加坡、首尔、东京、雅加达和法兰克福地域支持云硬盘加密能力。
云硬盘相关限制
云硬盘加密支持目前所有云硬盘类型和实例类型。
只能加密云硬盘，不能加密本地盘。
只能加密数据盘，不能直接加密系统盘。您可以通过 复制加密镜像 并通过该加密镜像创建云服务器实例来实现对系统盘的加密。
已经存在的非加密云硬盘，不能直接转换成加密云硬盘。
已经加密的云硬盘，不能转换为非加密云硬盘。
一代加密云硬盘不能挂载至仅支持二代加密的实例类型上，反之亦然。
快照、镜像相关限制
已经存在的非加密盘产生的快照，不能直接转换成加密快照。
加密快照不能转换为非加密快照。
不能共享带有加密快照的镜像。
不能跨地域复制加密快照及加密快照创建的镜像。
其他限制
云硬盘加密功能依赖于同一地域的 KMS，如果您没有其他操作请求，则无需在 KMS 控制台执行额外操作。
首次使用云硬盘加密功能时，需要根据页面提示授权开通 KMS，否则将无法购买加密云硬盘。
系统专门为云硬盘加密所创建的 CMK 可通过 KMS 控制台查询，但不能自行指定，不能删除，也无法更改。
费用说明
云硬盘加密功能不产生额外的费用，对云硬盘中数据的读写操作也不会产生额外的费用。但涉及加密云硬盘的管理操作时，无论通过控制台还是使用 API 进行加密云硬盘管理操作，均会以 API 的形式使用 KMS。使用 KMS 将会产生费用，KMS 的计费详情请参见 密钥管理服务计费概述。
对加密云硬盘的管理操作包括：
创建加密云硬盘
挂载云硬盘
卸载云硬盘
创建快照
回滚快照
说明：
请保证您的账户余额充足，否则会出现操作失败。
创建加密云硬盘
您可通过以下三种方式创建加密云硬盘：
使用控制台创建加密云硬盘
使用快照创建加密云硬盘
使用 API 创建加密云硬盘
1. 登录 云硬盘控制台，选择对应地域后单击新建。
2. 在购买数据盘对话框中，勾选云硬盘加密选项。
说明：
若您是第一次在该地域下使用加密云硬盘，您需要首先对密钥管理服务进行授权。
3. 根据您的实际情况选择云硬盘配置，并单击确定。
4. 购买完成后，您可在 云硬盘列表 页面查看已创建的加密云硬盘。
新建的加密云硬盘为待挂载状态，可参见 挂载云硬盘 将云硬盘挂载至同一可用区内的云服务器。
请参见 从快照创建云硬盘，选择加密快照创建云硬盘，即可创建已包含相关数据且加密的云硬盘。
可使用 CreateDisks 接口 通过以下两种方式创建加密云硬盘：
指定加密选项 Encrypt 为 true。
指定加密快照的 SnapshotId。
查看加密云硬盘的加密类型
在云硬盘控制台查看加密类型
通过API查看加密类型
1. 登录 云硬盘控制台，选择需要查看云硬盘的对应地域。
2. 在云硬盘列表中，点击右侧 设置列表字段 按钮，在弹出的 自定义列表字段 对话框中勾选 加密 选项，单击确定。
3. 云硬盘列表中将展示云硬盘是否加密，若云硬盘是加密状态，则会展示对应的加密代次。
可使用 DescribeDisks 接口判断云硬盘是否加密及对应的加密代次。查看返回的 Disk 数据结构中 Encrypt 和 EncryptType 字段。
转换数据加密状态
如果您需要对云硬盘现有数据从非加密状态转换为加密状态，建议您使用 Linux 下的 rsync 命令或者 Windows 下的  robocopy 命令，将数据从非加密盘复制到新创建的加密盘上。
如果您需要对云硬盘现有数据从加密状态转换为非加密状态，则建议您使用相同命令将数据从加密盘复制到新创建的非加密盘上。
﻿

加密类型	适用的实例类型	兼容性
一代加密（V1）	通用型 S1-S4 通用型 SA1 内存型 M1-M4 计算型 C1-C4 少量通用型 S5、SA2	与仅支持二代加密的机型不兼容
二代加密（V2）	通用型 S5 及更高代次的实例类型通用型 SA2 及更高代次的实例类型内存型 M5 及更高代次的实例类型计算型 C5 及更高代次的实例类型绝大部分支持云硬盘的 GPU 实例类型	与仅支持一代加密的机型不兼容

限制类型	说明
地域限制	仅北京、上海、广州、中国香港、新加坡、首尔、东京、雅加达和法兰克福地域支持云硬盘加密能力。
云硬盘相关限制	云硬盘加密支持目前所有云硬盘类型和实例类型。只能加密云硬盘，不能加密本地盘。只能加密数据盘，不能直接加密系统盘。您可以通过复制加密镜像并通过该加密镜像创建云服务器实例来实现对系统盘的加密。已经存在的非加密云硬盘，不能直接转换成加密云硬盘。已经加密的云硬盘，不能转换为非加密云硬盘。一代加密云硬盘不能挂载至仅支持二代加密的实例类型上，反之亦然。
快照、镜像相关限制	已经存在的非加密盘产生的快照，不能直接转换成加密快照。加密快照不能转换为非加密快照。不能共享带有加密快照的镜像。不能跨地域复制加密快照及加密快照创建的镜像。
其他限制	云硬盘加密功能依赖于同一地域的 KMS，如果您没有其他操作请求，则无需在 KMS 控制台执行额外操作。首次使用云硬盘加密功能时，需要根据页面提示授权开通 KMS，否则将无法购买加密云硬盘。系统专门为云硬盘加密所创建的 CMK 可通过 KMS 控制台查询，但不能自行指定，不能删除，也无法更改。

云硬盘加密

本页目录：

密钥管理

工作原理

加密类型

使用限制

费用说明

创建加密云硬盘

查看加密云硬盘的加密类型

转换数据加密状态