当您由于业务需求从而需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。

EVS加密采用行业标准的XTS-AES-256加密算法，利用密钥加密云硬盘。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块（HSM，Hardware Security Module），从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。

已经购买完成的云硬盘不支持更改加密属性。

创建加密云硬盘的具体操作请参见购买云硬盘。

默认密钥不支持禁用、计划删除等操作。

当加密云硬盘挂载时，EVS访问KMS，KMS会将数据密钥DK（Data Key）发送至宿主机内存中保存，EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用，不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后，加密云硬盘仍能使用内存中的DK明文，当卸载加密云硬盘后，DK明文会被从内存中删除，无法再读写磁盘。在下次挂载该加密云硬盘时，需要先使该自定义密钥处于可用状态。

自定义密钥的状态

影响

恢复方法

处于“禁用”状态

启用自定义密钥，具体请参见启用密钥。

处于“计划删除”状态

取消删除自定义密钥，具体请参见取消删除密钥。

已经被删除

磁盘数据永远无法恢复。

自定义密钥为付费使用，如果为按需计费的密钥，请及时充值确保账户余额充足，如果为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

系统盘需要跟随云服务器一起购买，无法单独购买。因此系统盘的加密与创建云服务器时所选择的镜像加密属性相关，主要涉及如下场景：

购买云服务器时，系统盘是否加密

是否使用加密镜像创建云服务器

创建的系统盘是否加密

说明

是（密钥A）

是（密钥B）

是（密钥A）

是（密钥A）

否

是（密钥A）

购买云服务器时，系统盘加密请参见自定义购买弹性云服务器。

否

是（密钥B）

是（密钥B）

关于镜像加密，具体请参见加密镜像。

否

否

否

如果想使用非加密镜像创建加密系统盘，可以先把非加密镜像复制为加密镜像，然后在创建云服务器时选择该加密镜像，即可创建加密系统盘。具体参见复制镜像。

数据盘可以跟随云服务器一起购买，也可以单独购买。数据盘是否加密主要涉及涉及如下场景：

购买位置

购买方式

创建的数据盘是否加密

说明

在云服务器控制台购买

随云服务器一起购买

是/否

随云服务器一起购买的数据盘，可以选择加密或不加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一：基础配置”。

在云硬盘控制台单独购买

不选择数据源创建

是/否

不选择数据源创建的空白数据盘，可以选择加密或不加密，创建完成后无法更改其加密属性。

从备份创建

是/否

从快照创建

（快照源云硬盘加密）

是

通过加密云硬盘创建的快照为加密快照。

从快照创建

（快照源云硬盘未加密）

否

通过未加密云硬盘创建的快照为非加密快照。

从镜像创建

（镜像源云硬盘加密）

是

-

从镜像创建

（镜像源云硬盘未加密）

否

-

使用加密功能时，根据用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分：

作为当前区域或者项目内第一个使用加密功能的用户，需要具有“KMS Administrator”权限，才能创建委托授权EVS创建加密云硬盘。如果您没有该权限，请联系账号管理员为您添加该权限。