このドキュメントでは、ECS ディスクとは、クラウドディスク共有ブロックストレージデバイスを指します。以降の内容では、特に明記しない限り、クラウドディスクと共有ブロックストレージを ECS ディスクと呼びます。

ECS ディスク暗号化とは

ECS ディスク暗号化機能を使用すると、新しい ECS ディスクを暗号化することができ、認定要件やビジネスセキュリティなどのシナリオの暗号化要件を満たすことができます。ECS ディスク暗号化機能を使用すると、ユーザー独自の鍵管理インフラストラクチャを作成、保守、保護する必要がなく、既存のアプリケーションや保守プロセスを変更する必要もありません。また、追加の暗号化操作や復号化操作は必要なく、ECS ディスク暗号化操作はアプリケーションや他の操作から見えません。

暗号化と復号化のプロセスが、ECS ディスクのパフォーマンスを低下させることはほとんどありません。パフォーマンステストの方法については、「クラウドディスクのスペックと性能テスト」をご参照ください。

暗号化された ECS ディスクを作成し、ECS インスタンスにアタッチした後、次のデータを暗号化できるようになります。

  • ECS ディスクに直接保存されたデータ。
  • ECS ディスクとインスタンスの間で送信されたデータ。ただし、インスタンスのオペレーティングシステムのデータは暗号化されません。
  • スナップショットなど、暗号化された ECS ディスクから作成されたデータ。これらのスナップショットは、暗号化されたスナップショットと呼ばれます。

暗号化と復号化は、ECS インスタンスを実行するホスト上で実行されるため、ECS インスタンスからクラウドディスクに送信されるデータは暗号化されます。

ECS ディスク暗号化は、すべての使用可能なクラウドディスク (Basic クラウドディスク、Ultra クラウドディスク、SSD クラウドディスク、ESSD) と共有ブロックストレージ(Ultra 共有ブロックストレージと SSD 共有ブロックストレージ) をサポートします。

ECS ディスク暗号化は、使用可能なすべてのインスタンスタイプをサポートし、すべてのリージョンでサポートされています。

ECS ディスク暗号化の依存関係

ECS ディスク暗号化は、Key Management Service (KMS) に依存しているため、同じリージョンに存在しなければなりません。ただし、ECS ディスク暗号化を有効化するために、KMS コンソールで追加の操作を実行する必要はありません。

ECS ディスク暗号化機能を初めて使用する場合 (ECS インスタンスまたは ECS ディスクの作成時など) は、まず KMS を許可し、有効化する必要があります。この操作を行わないと、暗号化された ECS ディスクや、暗号化されたディスクを含むインスタンスを作成できません。

API または CLI から ECS ディスク暗号化機能を使用する場合 (CreateInstanceCreateDisk など )、まず Alibaba Cloud コンソールで KMS を有効化する必要があります。

ターゲットリージョンで初めてディスクを暗号化すると、Alibaba Cloud は KMS リージョンに ECS 専用の Customer Master Key (CMK) を自動的に作成します。CMK は削除できません。KMS コンソールで CMK を照会することができます。

ECS ディスク暗号化の鍵管理

ECS ディスク暗号化は、鍵管理を行います。新しい ECS ディスクは、固有の 256 ビット鍵 (CMK から派生) を使用して暗号化されます。この鍵は、ECS ディスクから作成されたすべてのスナップショット、およびこれらのスナップショットから後で作成される ECS ディスクにも関連付けられます。これらの鍵は、KMS が提供する Alibaba Cloud 鍵管理インフラストラクチャによって保護されています。強力な論理的および物理的なセキュリティ制御により、不正なアクセスを防止します。データおよび関連付けられた鍵は、業界標準の AES-256 アルゴリズムに基づいて暗号化されています。

暗号化された ECS ディスクおよびスナップショットに関連付けられた CMK を変更することはできません。

Alibaba Cloud の鍵管理インフラストラクチャは、(NIST) 800-57 の推奨事項に準拠し、(FIPS) 140-2 標準に準拠した暗号アルゴリズムを使用しています。

Alibaba Cloud アカウントは、固有の CMK を各リージョンに持っています。この鍵はデータと分離され、物理的および論理的な厳しいセキュリティ制御によって保護されたシステムに保存されます。暗号化ディスクとそのスナップショットは、ディスクに固有の暗号化鍵を使用します。暗号化鍵は、現在のリージョンの現在のユーザーの CMK から作成および暗号化されます。ディスク暗号化鍵は、ECS インスタンスを実行しているホストのメモリ内でのみ使用されます。鍵は、永続的な記憶媒体 (ECS ディスクなど) に平文で保存されることはありません。

料金

ECS ディスク暗号化機能には、追加料金がかかりません。

各リージョンで ECS が作成する CMK は、サービス鍵です。リージョンのマスター鍵クォータを消費しないため、追加料金は発生しません。

注意 マウント/マウント解除、パーティショニング、フォーマットなど、ディスクに対する読み取り/書き込み操作には追加料金がかかりません。ただし、ECS コンソールまたは API を使用して、ディスクに対する操作を行うと、KMS API が呼び出され、このような呼び出しは現在のリージョンの KMS API クォータを消費します。

以下の操作が含まれます。

  • CreateInstance または CreateDisk を呼び出して、暗号化ディスクを作成する。
  • AttachDisk を呼び出して、暗号化されたディスクをインスタンスにアタッチする。
  • DetachDisk を呼び出して、暗号化されたディスクをインスタンスからデタッチする。
  • CreateSnapshot を呼び出して、スナップショットを作成する。
  • ResetDisk を呼び出して、ディスクをリストアする。
  • ReInitDisk を呼び出して、ディスクを再初期化する。

暗号化された ECS ディスクの作成

現在、クラウドディスクのみを暗号化できます。次の方法で、暗号化されたクラウドディスクを作成できます。

  • ECS インスタンスの作成時にクラウドディスクをデータディスクとして作成します、または

    • 暗号化されたブランクのクラウドディスクを作成するには、[暗号化] をチェックします。
    • クラウドディスクを作成するには、暗号化されたスクリーンショットを選択します。
  • API または CLI を使用する場合:

    • パラメーター DataDisk.n.Encrypted (CreateInstance) または Encrypted (CreateDisk) を true に設定する。
    • CreateInstance または CreateDisk で、暗号化されたスナップショットの SnapshotId パラメーターを指定します。

暗号化されていないデータから、暗号化されたデータへの変換

暗号化されていないディスク を、暗号化されたディスクに直接変換することはできません。また、この逆の操作を実行することもできません。

暗号化されていないディスクから作成したスナップショットを、暗号化されたスナップショットに変換したり、この逆の操作を実行したりすることはできません。

したがって、既存のデータを暗号化されていない状態から暗号化された状態に切り替える必要がある場合は、Linux インスタンスで rsync コマンドを使用するか、Windows インスタンスで robocopy コマンドを使用して、暗号化されていないディスクから暗号化された (新しい) ディスクにデータをコピーすることを推奨します。

したがって、既存のデータを暗号化された状態から暗号化されていない状態に切り替える必要がある場合は、Linux インスタンスで rsync コマンドを使用するか、Windows インスタンスで robocopy コマンドを使用して、暗号化されたディスクから暗号化されていない (新しい) ディスクにデータをコピーすることを推奨します。

制限

ECS ディスク暗号化には、次の制限があります。

  • 暗号化できるのは、ECS ディスクのみです。ローカルディスクやエフェメラルディスクを暗号化することはできません。
  • システムディスクではなく、データディスクのみを暗号化できます。
  • 暗号化されていない既存のディスクを、暗号化されたディスクに直接変換することはできません。
  • 暗号化されたディスクを、暗号化されていないディスクに変換することはできません。
  • 暗号化されていないスナップショットを、暗号化されたスナップショットに変換することはできません。
  • 暗号化されたスナップショットを、暗号化されていないスナップショットに変換することはできません。
  • 暗号化されたスナップショットから作成されたイメージを共有することはできません。
  • 暗号化されたスナップショットから作成したイメージを、リージョン間でコピーすることはできません。
  • 暗号化されたスナップショットから作成されたイメージをエクスポートすることはできません。
  • 各リージョンの CMK を定義することはできません。CMK は、システムによって生成されます。
  • ECS システムは、リージョンごとに CMK を作成します。これらの鍵を削除することはできません。また、これらの鍵に料金はかかりません。
  • クラウドディスクを暗号化した後、暗号化と復号化に使用する CMK を変更することはできません。