云硬盘文档中心入门中心API 中心SDK 中心文档活动我的反馈文档反馈官招募中,报名立赚积分兑换代金券!> HOT文档中心>云硬盘>产品简介>云硬盘实例>云硬盘加密云硬盘加密最近更新时间:2025-12-18 17:33:22
微信扫一扫QQ新浪微博复制链接链接复制成功我的收藏本页目录:密钥管理工作原理使用限制费用说明创建加密云硬盘转换数据加密状态当您的业务因为安全或合规要求等原因,需要对存储在云硬盘上的数据进行加密保护时,您可以开启云硬盘加密功能。云硬盘加密能力借由 腾讯云密钥管理服务(KMS) 提供的基础设施有效保护数据的隐私性。注意:当前云硬盘加密功能为试用阶段,如有需要请通过 在线支持 进行申请。密钥管理腾讯云使用行业标准的 AES-256 算法,利用 腾讯云密钥管理服务(KMS)提供的数据密钥加密您的云硬盘数据。第一次使用加密云硬盘时,系统会为您在 KMS 中的相应地域自动创建一个专门为云硬盘加密使用的用户主密钥(CMK)。自动创建的密钥有且仅有一个,并存储在受严格物理和逻辑安全控制保护的密钥管理服务上。每个地域的加密云硬盘,都使用对应地域下唯一的 256 位数据密钥(DK)进行加密。通过加密云硬盘创建的快照,以及使用加密快照创建的加密云硬盘均关联该密钥。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DK)仅在实例所属宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。工作原理当您设置云硬盘为加密云硬盘时,腾讯云 CBS 产品使用 KMS 提供的唯一数据密钥(DK)对数据进行加密,并在读取数据时自动解密。加解密过程在云服务器实例所在的宿主机上运行,对低负载的云硬盘读写性能几乎没有影响,而在高负载的 I/O 密集型业务上对云硬盘的读写性能将产生一定影响。您可以参见 如何衡量云硬盘的性能 进行云硬盘性能测试。创建加密云硬盘并将其挂载到实例后,系统将对以下数据进行加密:云硬盘中的静态数据。云硬盘和实例间传输的数据(实例操作系统内的数据不加密)。使用加密云硬盘创建的所有快照。使用限制云硬盘的加密功能具有以下限制:限制类型说明地域限制仅北京、上海、广州、中国香港、新加坡、首尔、东京、雅加达和法兰克福地域支持云硬盘加密能力。云硬盘相关限制云硬盘加密支持目前所有云硬盘类型和实例类型。只能加密云硬盘,不能加密本地盘。只能加密数据盘,不能直接加密系统盘。您可以通过 复制加密镜像 并通过该加密镜像创建云服务器实例来实现对系统盘的加密。已经存在的非加密云硬盘,不能直接转换成加密云硬盘。已经加密的云硬盘,不能转换为非加密云硬盘。快照、镜像相关限制已经存在的非加密盘产生的快照,不能直接转换成加密快照。加密快照不能转换为非加密快照。不能共享带有加密快照的镜像。不能跨地域复制加密快照及加密快照创建的镜像。其他限制云硬盘加密功能依赖于同一地域的 KMS,如果您没有其他操作请求,则无需在 KMS 控制台执行额外操作。首次使用云硬盘加密功能时,需要根据页面提示授权开通 KMS,否则将无法购买加密云硬盘。系统专门为云硬盘加密所创建的 CMK 可通过 KMS 控制台查询,但不能自行指定,不能删除,也无法更改。费用说明云硬盘加密功能不产生额外的费用,对云硬盘中数据的读写操作也不会产生额外的费用。但涉及加密云硬盘的管理操作时,无论通过控制台还是使用 API 进行加密云硬盘管理操作,均会以 API 的形式使用 KMS。使用 KMS 将会产生费用,KMS 的计费详情请参见 密钥管理服务计费概述。对加密云硬盘的管理操作包括:创建加密云硬盘挂载云硬盘卸载云硬盘创建快照回滚快照说明:请保证您的账户余额充足,否则会出现操作失败。创建加密云硬盘您可通过以下三种方式创建加密云硬盘:使用控制台创建加密云硬盘使用快照创建加密云硬盘使用 API 创建加密云硬盘1. 登录 云硬盘控制台,选择对应地域后单击新建。2. 在购买数据盘对话框中,勾选云硬盘加密选项。说明:若您是第一次在该地域下使用加密云硬盘,您需要首先对密钥管理服务进行授权。3. 根据您的实际情况选择云硬盘配置,并单击确定。4. 购买完成后,您可在 云硬盘列表 页面查看已创建的加密云硬盘。
新建的加密云硬盘为待挂载状态,可参见 挂载云硬盘 将云硬盘挂载至同一可用区内的云服务器。请参见 从快照创建云硬盘,选择加密快照创建云硬盘,即可创建已包含相关数据且加密的云硬盘。可使用 CreateDisks 接口 通过以下两种方式创建加密云硬盘:指定加密选项 Encrypt 为 true。指定加密快照的 SnapshotId。转换数据加密状态如果您需要对云硬盘现有数据从非加密状态转换为加密状态,建议您使用 Linux 下的 rsync 命令或者 Windows 下的 robocopy 命令,将数据从非加密盘复制到新创建的加密盘上。如果您需要对云硬盘现有数据从加密状态转换为非加密状态,则建议您使用相同命令将数据从加密盘复制到新创建的非加密盘上。上一篇: 云硬盘状态下一篇: 云硬盘数据备份点Copyright © 2013-2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有深圳市腾讯计算机系统有限公司ICP备案/许可证号:粤B2-20090059粤公网安备44030502008569号腾讯云计算(北京)有限责任公司京ICP证150476号 | 京ICP备11018762号中国站中文International文档“捉虫”活动检视指定产品文档,发现和反馈有效问题,奖!API专项"捉虫"反馈API文档问题,代金券、周边好礼奖不停!文档建议,你提了吗快来使用腾讯云产品文档,提出有效建议,奖!在线咨询目录返回顶部