ECS云盘加密详解包括云盘加密方式费用等

阿里云ECS云盘加密功能依赖于同一地域的密钥管理服务（Key Management Service，KMS），用户无需做额外的加解密操作，云盘加密功能对于用户的业务是无感，阿里云帮助中心分享ECS云盘加密方式、加密费用：

ECS云盘简介

阿里云为用户提供了一种简单的安全的加密手段，即ECS云盘加密，云盘加密能够对您新创建的云盘进行加密处理。用户无需构建、维护和保护自己的密钥管理基础设施，用户也无需更改任何已有的应用程序和运维流程，无需做额外的加解密操作，云盘加密功能对于用户的业务是无感的，加密解密的过程对于云盘的性能几乎没有衰减。

加密解密是在ECS实例所在的宿主机上进行的，对从ECS实例传输到云盘的数据进行加密。

ECS云盘加密费用？

是免费的！ECS不对云盘加密功能收取额外的费用；ECS为用户在每个地域创建的用户主密钥（CMK）属于服务密钥，不收取额外费用，也不占用用户在每个地域的主密钥数量限制。

ECS 云盘加密支持所有在售云盘（普通云盘、高效云盘、SSD 云盘和 ESSD 云盘）和共享块存储（高效共享块存储和SSD共享块存储）

ECS云盘可以加密哪些项目？

用户创建加密云盘并挂在到ECS实例上，云盘加密将对以下类型的数据进行加密：

加密原理

ECS云盘加密功能依赖于同一地域的密钥管理服务（Key Management Service，KMS），每个新创建云盘都使用一个唯一的 256位密钥（来自于用户主密钥）加密，此云盘的所有快照以及从这些快照创建的后续云盘也关联该密钥。

密钥受阿里云密钥管理基础设施的保护（由密钥管理服务提供），这将实施强逻辑和物理安全控制以防止未经授权的访问。用户的数据和关联的密钥使用行业标准的AES-256算法进行加密。

用户无法更改与已经加密了的云盘和快照关联的用户主密钥（CMK）。

阿里云整体密钥管理基础设施符合(NIST) 800-57中的建议，并使用了符合 (FIPS) 140-2标准的密码算法。

每个阿里云ECS账号在每个地域都具有一个唯一的用户主密钥（CMK），该密钥与数据分开，存储在一个受严格的物理和逻辑安全控制保护的系统上。每个加密盘及其后续的快照都使用云盘粒度唯一的加密密钥（从该用户该地域的用户主密钥创建而来），会被该地域的用户主密钥（CMK）加密。云盘的加密密钥仅在您的ECS实例所在的宿主机的内存中使用，永远不会以明文形式存储在任何永久介质（如云盘）上。