1.云盘加密介绍

当前阿里云云盘提供KMS加密方案，您除了可以使用默认服务密钥外，还可以使用事先在KMS服务中创建好的CMK进行加密。整个云盘加密过程都是在ECS端完成，可确保静态数据安全以及ECS实例与后端块存储集群之间传输数据的安全性。

2.加密原理

云盘加密采用AES256机制，授权的用户在控制台选择指定CMK ID时，ECS服务通过角色扮演方式，向KMS请求一对明文密钥以及密文密钥，ECS服务在获取密钥对后，将密文密钥保存至云盘meta信息中。此后，每次挂载云盘或者重启ECS实例时，ECS服务向kms服务获取明文密钥，并将该密钥用于每个I/O加密操作。
当前阿里云云盘服务仅支持AES256加密机制。后续我们也会逐步演进并支持更多国密算法。

3.使用限制

• 当前所有的云盘类型均支持加密
• 目前不直接支持系统盘加密，如果要针对系统盘加密，则需要通过镜像加密方式完成
• 加密会影响云盘的IO性能，IO密集型场景请根据实际情况评估是否开启云盘加密功能
• 针对加密云盘创建的快照，默认也是加密状态，并且使用与云盘相同的加密密钥

4.控制台操作

云盘服务默认会在每个region创建1个阿里云托管的KM密钥（Default Service CMK），您可以使用该默认托管的密钥进行加密，也可以选择事先在KMS服务中创建的CMK ID。我们建议您使用指定的CMK 进行加密，这样更加灵活以及便于管理（包括密钥轮转，密钥激活等）
如下图所示，授权的 用户在创建云盘时，可以选择指定的CMK 进行加密。