ここでは、ECS ディスクとは、クラウドディスク共有ブロックストレージデバイスを指します。 以降の内容では、特に明記しない限り、クラウドディスクと共有ブロックストレージを ECS ディスクと呼びます。

ECS ディスクの暗号化とは

ECS ディスクの暗号化機能により新しい ECS ディスクを暗号化することが可能になり、認定要件および業務セキュリティなどのシナリオに対する暗号化のニーズを満たすことができます。 ECS ディスク暗号化機能を使用すると、ユーザー独自のキー管理インフラストラクチャーを作成、管理、保護する必要がなく、お使いの既存のアプリケーションやメンテナンス処理を変更する必要もありません。 また、追加の暗号化や暗号化解除の操作は必要なく、ECS ディスク暗号化操作はお使いのアプリケーションまたは他の操作から見えません。

暗号化と暗号化解除の処理が、ECS ディスクのパフォーマンスを低下させることはほとんどありません。 パフォーマンステスト方法について詳しくは、「ストレージのパラメーターおよびパフォーマンステスト」をご参照ください。

暗号化された ECS ディスクを作成し、ECS インスタンスに接続した後、以下のデータを暗号化できるようになります。

  • ECS ディスクに直接保存されたデータ。
  • ECS ディスクとインスタンスの間で送信されたデータ。 ただし、インスタンスのオペレーティングシステムのデータは暗号化されません。
  • スナップショットなど、暗号化された ECS ディスクから作成されたデータ。 これらのスナップショットは、暗号化されたスナップショットと呼ばれます。

暗号化と暗号化解除は、ECS インスタンスを実行するホスト上で実行されるため、ECS インスタンスからクラウドディスクに送信されるデータは暗号化されます。

ECS ディスク暗号化は、すべての使用可能なクラウドディスク (ベーシッククラウドディスク、Ultra クラウドディスク、SSD クラウドディスクおよび ESSD) および共有ブロックストレージ(Ultra 共有ブロックストレージおよび SSD 共有ブロックストレージ) をサポートします。

ECS ディスク暗号化は、すべてのリージョンにある、使用可能なすべてのインスタンスタイプをサポートしています。

ECS ディスクの暗号化の依存関係

ECS ディスク暗号化は、「KMS (Key Management Service)」に依存してます。これらは同一のリージョンにある必要があります。 ただし、ECS ディスクの暗号化を有効化するために、KMS コンソールで追加の操作を実行する必要はありません。

初めて ECS ディスクの暗号化機能を使用する場合 (ECS インスタンスまたは ECS ディスク作成時など)、最初に KMS を許可し、有効化する必要があります。 KMS の許可および有効化をしない場合、暗号化されたディスクを持つ暗号化された ECS ディスクまたは ECS インスタンスを作成できません

「CreateInstance」または「CreateDisk」など、API または CLI を使用し、ECS ディスクの暗号化機能を使用する場合、まず Alibaba Cloud コンソールで KMS を有効化する必要があります。

初めてターゲットリージョンでディスクを暗号化すると、Alibaba Cloud により KMS リージョンに ECS 専用の CMK (Customer Master Key) が自動的に作成されます。 CMK は削除できません。 KMS コンソールで CMK を照会することができます。

ECS ディスクの暗号化に関するキー管理

ECS ディスクの暗号化はキーの管理を行います。 それぞれの新しい ECS ディスクは、固有の 256 ビットキー (CMK から派生) を使用して暗号化されます。 このキーは、それぞれの ECS ディスクから作成されたすべてのスナップショット、およびこれらのスナップショットから後で作成される ECS ディスクにも関連付けられます。 これらのキーは、KMS により提供される Alibaba Cloud のキー管理インフラストラクチャーにより保護されます。 この手法により、強固な理論的および物理的セキュリティ管理が実装され、不正アクセスを防止します。 お使いのデータおよび関連付けられたキーは、業界標準の AES-256 アルゴリズムに基づいて暗号化されます。

暗号化された ECS ディスクおよびスナップショットに関連付けられた CMK を変更することはできません。

Alibaba Cloud のキー管理インフラストラクチャは、(NIST) 800-57 の推奨事項に準拠し、(FIPS) 140-2 標準に準拠した暗号アルゴリズムを使用しています。

それぞれの Alibaba Cloud アカウントは、それぞれのリージョンで固有の CMK を持ちます。 このキーはデータと分離され、物理的および論理的に厳しいセキュリティ制御によって保護されたシステムに保存されます。 それぞれの暗号化ディスクおよびそのスナップショットは、特定のディスクに固有の暗号化キーを使用します。 暗号化キーは、利用中のリージョンで利用中のユーザーに対して CMK により作成および暗号化されます。 ディスク暗号化キーは、お使いの ECS インスタンスを実行しているホストのメモリーでのみ使用されます。 キーは、永続的なストレージメディア (ECS ディスクなど) にプレーンテキストで保存されることはありません。

料金

ECS ディスクの暗号化機能には、追加料金がかかりません。

それぞれのリージョンで ECS が作成する CMK は、サービスキーです。 リージョンのマスターキークォータを消費しないため、追加料金は発生しません。

マウント/マウント解除、パーティショニング、フォーマットなどのディスク上の読み取り/書き込み操作には追加料金がかかりません。 ただし、ECS コンソールまたは API を使用して、ディスク上で操作を行う場合、KMS API が呼び出され、このような呼び出しは作業中のリージョンでの KMS API クォータを消費します。

以下の操作が含まれます。

暗号化された ECS ディスクの作成

現在、クラウドディスクのみ暗号化できます。 暗号化されたクラウドディスクの作成は、以下のような方法で行います。

  • データディスクとしてクラウドディスクを作成するには、ECS インスタンスまたは作成時に:

    • [暗号化] チェックボックスをオンにして、暗号化された空のクラウドディスクを作成します。
    • 暗号化されたスクリーンショットを選択して、クラウドディスクを作成します。
  • API または CLI を使用する場合:

    • パラメーターDataDisk.n.Encrypted (「CreateInstance」) または Encrypted (「CreateDisk」) を true に設定します。
    • CreateInstance または CreateDisk で、暗号化されたスナップショットの SnapshotId パラメーターを指定します。

暗号化されていないデータの暗号化されたデータへの変換

暗号化されていないディスクを、暗号化されたディスクに直接変換できません。また、逆の操作もできません。

暗号化されていないディスクから作成したスナップショットを、暗号化されたスナップショットに変換できません。また、逆の操作もできません。

そのため、既存のデータを [ unencrypted] ステータスから [encrypted] ステータスに切り替える必要がある場合、Linux インスタンス上で rsync コマンド、または Windows インスタンス上で robocopy コマンドを使用し、暗号化されていないディスクから (新しい) 暗号化されたディスクへコピーすることを推奨します。

そのため、既存のデータを [encrypted] ステータスから [unencrypted] ステータスに切り替える必要がある場合、Linux インスタンス上で rsync コマンド、または Windows インスタンス上で robocopy コマンドを使用し、暗号化されたディスクから (新しい) 暗号化されていないディスクへコピーすることを推奨します。

制限

ECS ディスク暗号化には、以下のような制限があります。

  • ECS ディスクのみ暗号化できます。ローカルディスクまたはエフェメラルディスクは暗号化できません。
  • データディスクのみ暗号化できます。システムディスクは暗号化できません。
  • 既存の暗号化されていないディスクを、暗号化されたディスクに直接変換できません。
  • 暗号化されたディスクを、暗号化されていなディスクに直接変換できません。
  • 暗号化されていないスナップショットを、暗号化されたスナップショットに変換できません。
  • 暗号化されたスナップショットを、暗号化されていないスナップショットに変換できません。
  • 暗号化されたスナップショットから作成されたイメージを共有できません。
  • 暗号化されたスナップショットから作成したイメージを、リージョン間でコピーできません。
  • 暗号化されたスナップショットから作成されたイメージをエクスポートできません。
  • それぞれのリージョンに対して CMK を定義できません。 CMK はシステムにより生成されます。
  • ECS システムは、それぞれのリージョンに対して CMK を作成します。 これらのキーを削除できません。また、これらのキーに料金は発生しません。
  • クラウドディスクを暗号化後、暗号化と暗号化解除に使用する CMK を変更できません。