Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Compute Cloud
  • Yandex Container Solution
    • Взаимосвязь ресурсов
    • Графические ускорители GPU
    • Образы
    • Выделенный хост
    • Шифрование
    • Резервное копирование
    • Квоты и лимиты
  • Управление доступом
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Варианты шифрования
  • Использование пользовательских ключей
  • См. также
  1. Концепции
  2. Шифрование

Шифрование в Compute Cloud

Статья создана
Yandex Cloud
Обновлена 7 февраля 2025 г.
  • Варианты шифрования
  • Использование пользовательских ключей
    • См. также

По умолчанию все данные на дисках Compute Cloud шифруются на уровне базы данных хранилища с помощью системного ключа. Это позволяет защитить данные от компрометации в случае физической кражи дисков из дата-центров Yandex Cloud. Подробнее см. Защита данных.

Рекомендуем также использовать шифрование дисков, снимков и образов с помощью пользовательских симметричных ключей Yandex Key Management Service. Такой подход позволяет:

  • защищаться от потенциальных угроз нарушения изоляции и компрометации данных на уровне виртуальной инфраструктуры;
  • контролировать шифрование и жизненный цикл ключей KMS, а также управлять ими, см. Управление ключами;
  • повысить уровень контроля доступа к данным на диске за счет необходимости прав на ключ KMS, см. Настройка прав доступа к симметричному ключу шифрования;
  • отслеживать операции шифрования и расшифрования вашим ключом KMS с помощью сервиса Yandex Audit Trails, см. Аудит использования ключей.

Вы можете зашифровать диски следующих типов:

  • Сетевой SSD-диск (network-ssd).
  • Сетевой HDD-диск (network-hdd).
  • Нереплицируемый SSD-диск (network-ssd-nonreplicated).
  • Сверхбыстрое сетевое хранилище с тремя репликами (SSD) (network-ssd-io-m3).

Подробнее см. Типы дисков.

Важно

Задать настройки шифрования можно только при создании диска. Шифрование диска нельзя будет отключить или изменить. Также нельзя будет включить шифрование для уже созданного диска.

Шифрование в Compute Cloud доступно с помощью консоли управления, CLI и API.

Варианты шифрованияВарианты шифрования

Варианты создания зашифрованных ресурсов Compute Cloud, а также особенности использования ключей KMS:

Конечный ресурс Исходный ресурс Ключ Примечание
Пустой зашифрованный диск — Любой См. Создать пустой диск.
Зашифрованный диск Незашифрованный образ Любой См. Восстановить диск с помощью образа.
Также с помощью образа можно
зашифровать существующие диски и снимки.
Зашифрованный диск Зашифрованный образ Ключ образа См. Восстановить диск с помощью образа.
Также с помощью зашифрованного
образа можно сделать копию
зашифрованного диска.
Зашифрованный диск Незашифрованный снимок Любой См. Восстановить диск с помощью снимка.
Зашифрованный диск Зашифрованный снимок Ключ снимка См. Восстановить диск с помощью снимка.
Зашифрованный образ Зашифрованный диск Ключ диска См. Создать образ из диска.
Зашифрованный снимок Зашифрованный диск Ключ диска См. Создать снимок диска.

Использование пользовательских ключейИспользование пользовательских ключей

Использование пользовательских ключей KMS для шифрования дисков и снимков позволяет гранулярнее контролировать доступ к зашифрованным данным: создавать ключи под конкретного пользователя или задачу, своевременно деактивировать или удалять конкретные ключи.

Если деактивировать ключ, которым были зашифрованы диск, снимок или образ, доступ к данным будет приостановлен, пока ключ не будет снова активирован.

Внимание

Если удалить ключ или его версию, которыми были зашифрованы диск, снимок или образ, доступ к данным будет безвозвратно потерян. Подробнее см. Удаление версии ключа.

Чтобы использовать шифрование в Compute Cloud, у пользователя должна быть роль kms.keys.user или kms.admin на ключ, который используется для шифрования. Данные роли позволяют:

  • создавать зашифрованный диск;
  • создавать ВМ с зашифрованным диском;
  • подключать зашифрованный диск к существующей ВМ;
  • выполнять операции старта и рестарта ВМ с зашифрованным диском.

Подробнее см. Управление доступом.

См. такжеСм. также

  • Шифрование данных и управление ключами и секретами

Была ли статья полезна?

Предыдущая
Выделенный хост
Следующая
Резервное копирование
Проект Яндекса
© 2025 ООО «Яндекс.Облако»