当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在ACK容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性。
使用BYOK创建加密云盘时,系统需要使用同一地域的密钥管理服务(KMS)提供的BYOK(Bring Your Own Key)。因此,首次通过控制台或者API使用云盘加密功能之前,您必须先开通密钥管理服务。
1. 创建BYOK
登录密钥管理服务控制台
创建BYOK并记录密钥ID:
2. 创建StorageClass使用BYOK
在ACK容器集群中新建StorageClass并配置encrypted: "true"
kmsKeyId: <your BYOK>
使用BYOK,示例如下:
$ cat storageclass-ssd-byok