Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Compute Cloud
    • Все инструкции
      • Изменить диск
      • Настроить создание снимков диска по расписаниям
      • Перенести диск в другой каталог
      • Перенести диск в другую зону доступности
      • Зашифровать диск
      • Получить информацию о диске
      • Настроить права доступа к диску
      • Удалить диск
    • Посмотреть операции с ресурсами сервиса
  • Yandex Container Solution
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы
  1. Пошаговые инструкции
  2. Управление диском
  3. Зашифровать диск

Зашифровать диск

Статья создана
Yandex Cloud
Улучшена
Обновлена 27 июня 2025 г.

Для создания зашифрованного диска нужна роль kms.keys.user или выше.

Если деактивировать ключ, которым были зашифрованы диск, снимок или образ, доступ к данным будет приостановлен, пока ключ не будет снова активирован.

Внимание

Если удалить ключ или его версию, которыми были зашифрованы диск, снимок или образ, то доступ к данным будет безвозвратно потерян. Подробнее см. Удаление версии ключа.

Консоль управления
CLI
Terraform
API
  1. Создайте ключ шифрования Yandex Key Management Service. Подробнее см. Шифрование в Compute Cloud.

  2. Создайте образ из диска, который вы хотите зашифровать.

  3. Создайте зашифрованный диск из образа:

    1. В консоли управления выберите каталог, в котором вы хотите создать зашифрованный диск.

    2. Выберите сервис Compute Cloud.

    3. На панели слева выберите Диски.

    4. Нажмите кнопку Создать диск.

    5. Введите имя диска.

      • длина — от 2 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.
    6. Выберите ту же зону доступности, в которой находился исходный диск.

    7. Задайте параметры диска: тип диска, а также размер блока и размер диска.

    8. В поле Наполнение выберите Образ и в списке ниже отметьте образ, который создали ранее. Для поиска образа воспользуйтесь фильтром.

    9. В блоке Шифрование включите опцию Зашифрованный диск и в поле Ключ KMS выберите ключ, созданный ранее.

    10. Нажмите кнопку Создать диск.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  4. Удалите образ.

  5. Удалите незашифрованный диск.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте ключ шифрования Yandex Key Management Service:

    yc kms symmetric-key create \
      --name <имя_ключа> \
      --default-algorithm aes-256 \
      --rotation-period 24h \
      --deletion-protection
    

    Где --name — имя создаваемого ключа Key Management Service.

    Результат:

    id: abj73fd9mekk********
    folder_id: b1geoelk7fld********
    created_at: "2025-05-20T17:27:35Z"
    name: my-key1
    status: ACTIVE
    primary_version:
      id: abjdno4pqi67********
      key_id: abj73fd9mekk********
      status: ACTIVE
      algorithm: AES_256
      created_at: "2025-05-20T17:27:35Z"
      primary: true
    default_algorithm: AES_256
    rotation_period: 86400s
    deletion_protection: true
    
  2. Получите список всех дисков в каталоге по умолчанию:

    yc compute disk list
    

    Результат:

    +----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+
    |          ID          |     NAME     |    SIZE     |     ZONE      | STATUS |     INSTANCE IDS     |       DESCRIPTION       |
    +----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+
    | a7lqgbt0bb9s******** | first-disk   | 20401094656 | ru-central1-a | READY  | a7lcvu28njbh******** |                         |
    | a7lv5j5hm1p1******** | second-disk  | 21474836480 | ru-central1-a | READY  |                      |                         |
    +----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+
    
  3. Создайте образ из диска, который вы хотите зашифровать:

    yc compute image create \
      --name <имя_образа> \
      --source-disk-name <имя_незашифрованного_диска>
    

    Где:

    • --name — имя создаваемого образа.
    • --source-disk-name — имя незашифрованного диска, для которого создается образ.

    Результат:

    done (9s)
    id: fd8lb5jnr2m2********
    folder_id: b1geoelk7fld********
    created_at: "2025-05-20T17:30:33Z"
    name: fromcli
    min_disk_size: "21474836480"
    status: READY
    os:
      type: LINUX
    hardware_generation:
      legacy_features:
        pci_topology: PCI_TOPOLOGY_V1
    
  4. Создайте зашифрованный диск из образа:

    yc compute disk create <имя_зашифрованного_диска> \
      --source-image-name <имя_образа> \
      --kms-key-name <имя_ключа>
    

    Где:

    • --source-image-name — имя образа для создания зашифрованного диска.
    • --kms-key-name — имя ключа шифрования.

    Результат:

    done (53s)
    id: fhmihpagi991********
    folder_id: b1geoelk7fld********
    created_at: "2025-05-20T17:39:01Z"
    name: fromcliencrypted
    type_id: network-hdd
    zone_id: ru-central1-a
    size: "21474836480"
    block_size: "4096"
    status: READY
    source_image_id: fd8lb5jnr2m2********
    disk_placement_policy: {}
    hardware_generation:
      legacy_features:
        pci_topology: PCI_TOPOLOGY_V1
    kms_key:
      key_id: abj73fd9mekk********
      version_id: abjdno4pqi67********
    

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  5. Удалите образ:

    yc compute image delete <имя_образа>
    

    Результат:

    done (15s)
    
  6. Удалите незашифрованный диск:

    yc compute disk delete <имя_незашифрованного_диска>
    

    Результат:

    done (7s)
    

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы зашифровать диск с помощью Terraform:

  1. Опишите в конфигурационном файле Terraform параметры ресурсов, которые необходимо создать:

    # Создание ключа Yandex Key Management Service
    
    resource "yandex_kms_symmetric_key" "my-key" {
      name                = "Encrypt key"
      default_algorithm   = "AES_256"
      rotation_period     = "8760h"
      deletion_protection = true
      lifecycle {
        prevent_destroy = true
      }
    }
    
    # Создание образа
    
    resource "yandex_compute_image" "image-1" {
      name        = "disk-image"
      source_disk = "<идентификатор_незашифрованного_диска>"
    }
    
    # Создание зашифрованного диска
    
    resource "yandex_compute_disk" "empty-disk" {
      name       = "<имя_зашифрованного_диска>"
      type       = "network-hdd"
      zone       = "ru-central1-a"
      size       = 20
      block_size = 4096
      image_id   = yandex_compute_image.image-1.id
      kms_key_id = yandex_kms_symmetric_key.my-key.id
      depends_on = [yandex_compute_image.image-1]
    }
    

    Где:

    • source_disk — идентификатор незашифрованного диска.
    • name — имя создаваемого зашифрованного диска.

    Более подробную информацию о параметрах ресурса yandex_compute_disk см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      
    3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply
      
    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  3. Удалите образ.

  4. Удалите незашифрованный диск.

  1. Создайте ключ шифрования Yandex Key Management Service с помощью метода REST API create для ресурса SymmetricKey или вызовом gRPC API SymmetricKeyService/Create.

  2. Создайте образ с помощью метода REST API create для ресурса Image или вызова gRPC API ImageService/Create. В запросе укажите идентификатор диска.

    Список доступных дисков запрашивайте методом REST API list или вызовом gRPC API DiskService/List.

  3. Создайте зашифрованный диск из образа, используя метод REST API create для ресурса Disk или вызов gRPC API DiskService/Create.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  4. Удалите образ с помощью метода REST API delete для ресурса Image или вызовом gRPC API ImageService/Delete.

  5. Удалите незашифрованный диск, используя метод REST API delete для ресурса Disk или вызовом gRPC API DiskService/Delete.

См. такжеСм. также

  • Шифрование в Compute Cloud
  • Зашифровать образ
  • Зашифровать снимок

Была ли статья полезна?

Предыдущая
Перенести диск в другую зону доступности
Следующая
Получить информацию о диске
Проект Яндекса
© 2025 ООО «Яндекс.Облако»