【产品技术】加密系列：EVS服务端

由于业务需求需要对存储在云硬盘的数据进行加密时，EVS提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需自行构建和维护密钥管理基础设施，安全便捷。

磁盘加密针对数据盘加密。系统盘的加密依赖于镜像。

哪些用户有权限使用云硬盘加密

• 安全管理员（拥有“Security      Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。

• 普通用户（没有“Security      Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分：

• 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。

• 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。

对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。

如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

云硬盘加密的密钥

加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)：

• 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。

默认主密钥不支持禁用、计划删除等操作。

• 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥。

使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复。

用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。

当需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。

勾选“加密”，若已经授权，会弹出“加密设置”对话框。

密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下：

• 默认主密钥：成功授权EVS访问KMS，系统会创建默认主密钥“evs/default”。

• 用户主密钥：即您已有的密钥或者新创建密钥。

使用KMS加密云硬盘（API）：也可以通过调用EVS API接口购买加密磁盘。