数据加密适用于数据安全或法规合规等场景，帮助您加密保护存储在阿里云ECS上的数据。无需自建和维护密钥管理基础设施，您就能保护数据的隐私性和自主性，为业务数据提供安全边界。被加密的云盘可以是系统盘和数据盘。

功能介绍

ECS加密采用行业标准的AES-256加密算法，利用密钥加密云盘。密钥可以是服务密钥和普通密钥（BYOK）。在加密解密的过程中，实例的性能几乎没有衰减。

• 使用加密的系统盘（或镜像）创建ECS实例后，ECS实例操作系统内数据会被自动加密，并在读取数据时自动解密。具体步骤，请参见加密系统盘。
• 创建加密的数据盘并将其挂载到ECS实例后，以下数据会被自动加密，并在读取数据时自动解密。具体步骤，请参见加密数据盘。

• 加密云盘中的静态数据。
• 加密云盘和实例间传输的数据（不包括操作系统内的数据）。
• 加密云盘从实例传递到后端存储集群的数据。
• 从加密云盘创建的所有快照，并且该快照的加密密钥与云盘的加密密钥保持相同。
• 从加密快照创建的所有云盘。

密钥

ECS云盘加密功能默认使用服务密钥为用户数据进行加密，也支持使用用户自选密钥为用户的数据进行加密。云盘的加密机制中，每一块云盘会有相对应的用户主密钥（CMK）和数据密钥（DK），并通过信封加密机制对用户数据进行加密。在信封加密机制中，CMK受密钥管理服务（Key Management Service，简称KMS）提供的密钥管理基础设施的保护，实施强物理安全和逻辑安全保护。云产品必须通过恰当的用户授权，才可以使用对应的CMK来产生DK，用于业务数据的加密，也只有通过用户授权，才可以使用对应的CMK来解密DK的密文，用于业务数据的解密。DK的明文仅会在您使用的ECS实例所在的宿主机的内存中使用，不会以明文形式存储在永久介质上。

加密云盘时，您可以选择的CMK包括以下类型。

类型

说明

来源

适用场景

服务密钥，下图①

开通KMS后，当您在一个地域第一次使用加密功能时，KMS自动在该地域创建一个专为ECS使用的CMK，密钥别名为acs/ecs，服务密钥不支持删除和禁用操作

KMS提供的默认密钥（Default Service CMK）

普通密钥，下图②

您自行创建的加密密钥，您对该类型密钥拥有完全的管理权限，包括创建、轮换和禁用密钥、定义访问控制的能力等

• 来源一：您在KMS创建的密钥
• 来源二：您在KMS创建的密钥，并自行导入了密钥材料（BYOK）

提高操作灵活性，增加密钥数量

计费

加密的功能或操作涉及的费用信息见下表所示。涉及计费的项目需要您确保支付方式余额充足，否则会出现操作失败。

功能或操作

是否计费

加密系统盘和数据盘

否

使用KMS提供的服务密钥

否

您在KMS上自行创建的CMK（包括BYOK）

是

对云盘的读写操作，包括挂载分区（mount）、卸载分区（umount）、创建分区、格式化文件系统等

否

对云盘的管理操作，包括以下类型。

• 创建加密云盘（RunInstances、CreateInstance或CreateDisk）
• 挂载云盘（AttachDisk）
• 创建快照（CreateSnapshot）
• 卸载云盘（DetachDisk）
• 回滚云盘（ResetDisk）
• 重新初始化云盘（ReInitDisk）

说明 无论是通过ECS管理控制台还是通过API，管理操作均会以API的形式记入到您在该地域的KMS服务API调用次数。

使用限制

• 支持加密的数据盘包括ESSD云盘、SSD云盘、高效云盘和普通云盘。
• 支持加密的系统盘包括ESSD云盘、SSD云盘和高效云盘。
• 不支持加密本地盘。
• 加密系统盘时，仅支持在复制自定义镜像时完成加密。加密后，不支持以下操作：

• 转换加密镜像为非加密镜像。
• 跨地域复制加密镜像。
• 共享加密镜像。
• 导出加密镜像。

• 非加密云盘不能直接转换成加密云盘。
• 加密云盘不能直接转换为非加密云盘。