Шифрование в Compute Cloud
По умолчанию все данные на дисках Compute Cloud шифруются на уровне базы данных хранилища с помощью системного ключа. Это позволяет защитить данные от компрометации в случае физической кражи дисков из дата-центров Yandex Cloud. Подробнее см. Защита данных.
Рекомендуем также использовать шифрование дисков и снимков дисков с помощью пользовательских симметричных ключей Yandex Key Management Service. Такой подход позволяет:
- защищаться от потенциальных угроз нарушения изоляции и компрометации данных на уровне виртуальной инфраструктуры;
- контролировать шифрование и жизненный цикл ключей KMS, а также управлять ими, см. Управление ключами;
- повысить уровень контроля доступа к данным на диске за счет необходимости прав на ключ KMS, см. Настройка прав доступа к симметричному ключу шифрования;
- отслеживать операции шифрования и расшифрования вашим ключом KMS с помощью сервиса Yandex Audit Trails, см. Аудит использования ключей.
Шифрование в Compute Cloud находится на стадии Preview. Чтобы получить доступ к функциональности, на странице создания ресурса в блоке Шифрование нажмите кнопку Запросить доступ или обратитесь в техническую поддержку.
Вы можете зашифровать диски следующих типов:
- Сетевой SSD-диск (
network-ssd). - Сетевой HDD-диск (
network-hdd). - Нереплицируемый SSD-диск (
network-ssd-nonreplicated). - Сверхбыстрое сетевое хранилище с тремя репликами (SSD) (
network-ssd-io-m3).
Подробнее см. Типы дисков.
Шифрование в Compute Cloud доступно с помощью консоли управления.
Варианты шифрования
Варианты создания зашифрованных ресурсов Compute Cloud, а также особенности использования ключей KMS представлены в таблице:
| Конечный ресурс | Исходный ресурс | Ключ | Примечание |
|---|---|---|---|
| Пустой зашифрованный диск | — | Любой | См. Создать пустой диск. |
| Зашифрованный диск | Незашифрованный образ | Любой | См. Восстановить диск с помощью образа.Также с помощью образа можнозашифровать существующие диски и снимки. |
| Зашифрованный диск | Зашифрованный снимок | Ключ снимка | См. Восстановить диск с помощью снимка. |
| Зашифрованный снимок | Зашифрованный диск | Ключ диска | См. Создать снимок диска. |
Позже в Compute Cloud будут реализованы следующие опции для шифрования:
| Конечный ресурс | Исходный ресурс | Ключ | Примечание |
|---|---|---|---|
| Зашифрованный диск | Зашифрованный образ | Ключ образа | См. Восстановить диск с помощью образа.Также с помощью зашифрованногообраза можно сделать копиюзашифрованного диска. |
| Зашифрованный диск | Незашифрованный снимок | Любой | См. Восстановить диск с помощью снимка. |
| Зашифрованный образ | Зашифрованный диск | Ключ диска | См. Создать образ из диска. |
Использование пользовательских ключей
Использование пользовательских ключей KMS для шифрования дисков и снимков позволяет гранулярнее контролировать доступ к зашифрованным данным: создавать ключи под конкретного пользователя или задачу, своевременно деактивировать или удалять конкретные ключи.
Если деактивировать ключ, которым были зашифрованы диск или снимок, доступ к данным будет приостановлен, пока ключ не будет снова активирован.
Внимание
Если удалить ключ или его версию, которыми были зашифрованы диск или снимок, доступ к данным будет безвозвратно потерян. Подробнее см. Удаление версии ключа.
Чтобы ВМ имела доступ к зашифрованному диску, к ней должен быть привязан сервисный аккаунт c ролью kms.keys.encrypterDecrypter. Обратите внимание, к ВМ могут быть привязаны два сервисных аккаунта:
- Для работы с ресурсами облака изнутри ВМ, например для отправки метрик в Yandex Monitoring, логов в Yandex Cloud Logging или подключения к Yandex Cloud Backup. Этот сервисный аккаунт указывается в блоке параметров доступа.
- Для работы с зашифрованными дисками. Этот сервисный аккаунт указывается в блоке параметров дисков.
Чтобы использовать шифрование в Compute Cloud у пользователя должны быть следующие роли:
iam.serviceAccounts.userи выше на сервисный аккаунт, который используется для шифрования. Подробнее см. Роли Yandex Identity and Access Management.kms.viewerи выше на ключ, который используется для шифрования. Подробнее см. Роли Yandex Key Management Service.