Связаться с намиПодключиться

Зашифровать образ

Статья создана
Улучшена
Обновлена 11 июля 2025 г.

Если деактивировать ключ, которым были зашифрованы диск, снимок или образ, доступ к данным будет приостановлен, пока ключ не будет снова активирован.

Внимание

Если удалить ключ или его версию, которыми были зашифрованы диск, снимок или образ, то доступ к данным будет безвозвратно потерян. Подробнее см. Удаление версии ключа.

  1. Создайте ключ шифрования Yandex Key Management Service. Подробнее см. Шифрование в Compute Cloud.

  2. Создайте зашифрованный диск из образа, который вы хотите зашифровать:

    1. В консоли управления выберите каталог, в котором размещен исходный образ.

    2. Выберите сервис Compute Cloud.

    3. На панели слева выберите Диски.

    4. Нажмите кнопку Создать диск.

    5. Введите имя диска.

      • длина — от 2 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    6. Задайте параметры диска: тип диска, а также размер блока и размер диска.

    7. В поле Наполнение выберите Образ и в списке ниже отметьте нужный образ. Для поиска образа воспользуйтесь фильтром.

    8. В блоке Шифрование включите опцию Зашифрованный диск и в поле Ключ KMS выберите ключ, созданный ранее.

    9. Нажмите кнопку Создать диск.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  3. Создайте образ из зашифрованного диска, созданного ранее.

  4. Удалите зашифрованный диск.

  5. Удалите исходный образ.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте ключ шифрования Yandex Key Management Service:

    yc kms symmetric-key create \
  --name <имя_ключа> \
  --default-algorithm aes-256 \
  --rotation-period 24h \
  --deletion-protection

    Где --name — имя создаваемого ключа Key Management Service.

    Результат:

    id: abj73fd9mekk********
folder_id: b1geoelk7fld********
created_at: "2025-05-20T17:27:35Z"
name: my-key1
status: ACTIVE
primary_version:
  id: abjdno4pqi67********
  key_id: abj73fd9mekk********
  status: ACTIVE
  algorithm: AES_256
  created_at: "2025-05-20T17:27:35Z"
  primary: true
default_algorithm: AES_256
rotation_period: 86400s
deletion_protection: true

  2. Получите список всех образов в каталоге по умолчанию:

    yc compute image list

    Результат:

    +----------------------+--------------------+------------------------+----------+
|          ID          |        NAME        |       PRODUCT IDS      |  STATUS  |
+----------------------+--------------------+------------------------+----------+
| fd823vsvcmop******** | image-ubuntu-24-04 | igf2etq3erab3o******** | READY    |
| fd8p8l3asgud******** | image-debian-2025  | goa2etq3erab3o******** | READY    |
+----------------------+--------------------+------------------------+----------+

  3. Создайте зашифрованный диск из образа, который вы хотите зашифровать:

    yc compute disk create <имя_зашифрованного_диска> \
  --source-image-name <имя_образа> \
  --kms-key-name <имя_ключа>

    Где:

    • --source-image-name — имя образа для создания зашифрованного диска.
    • --kms-key-name — имя ключа шифрования.

    Результат:

    done (53s)
id: fhmihpagi991********
folder_id: b1geoelk7fld********
created_at: "2025-05-20T17:39:01Z"
name: fromcliencrypted
type_id: network-hdd
zone_id: ru-central1-a
size: "21474836480"
block_size: "4096"
status: READY
source_image_id: sd1lb3jnrcs2********
disk_placement_policy: {}
hardware_generation:
  legacy_features:
    pci_topology: PCI_TOPOLOGY_V1
kms_key:
  key_id: abj73fd9mekk********
  version_id: abjdno4pqi67********

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  4. Получите список всех дисков в каталоге по умолчанию:

    yc compute disk list

    Результат:

    +----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+
|          ID          |     NAME     |    SIZE     |     ZONE      | STATUS |     INSTANCE IDS     |       DESCRIPTION       |
+----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+
| a7lqgbt0bb9s******** | first-disk   | 20401094656 | ru-central1-a | READY  | a7lcvu28njbh******** |                         |
| a7lv5j5hm1p1******** | second-disk  | 21474836480 | ru-central1-a | READY  |                      |                         |
+----------------------+--------------+-------------+---------------+--------+----------------------+-------------------------+

  5. Создайте образ из зашифрованного диска, созданного ранее:

    yc compute image create \
  --name <имя_создаваемого_образа> \
  --source-disk-name <имя_зашифрованного_диска>

    Результат:

    done (8s)
id: fd87fubin9ql********
folder_id: b1geoelk7fld********
created_at: "2025-06-25T10:52:31Z"
name: encrypted-image
min_disk_size: "5368709120"
status: READY
os:
  type: LINUX
hardware_generation:
  legacy_features:
    pci_topology: PCI_TOPOLOGY_V1
kms_key:
  key_id: abjgkrgibtmo********
  version_id: abjvf41ltfi8********

  6. Удалите зашифрованный диск:

    yc compute disk delete <имя_зашифрованного_диска>

    Результат:

    done (4s)

  7. Удалите исходный образ:

    yc compute image delete <имя_незашифрованного_образа>

    Результат:

    done (2s)

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Чтобы зашифровать образ с помощью Terraform:

  1. Опишите в конфигурационном файле Terraform параметры ресурсов, которые необходимо создать:

    # Создание ключа Yandex Key Management Service

resource "yandex_kms_symmetric_key" "my-key" {
  name                = "encrypt-key"
  default_algorithm   = "AES_256"
  rotation_period     = "8760h"
  deletion_protection = true
  lifecycle {
    prevent_destroy = true
  }
}

# Создание зашифрованного диска

resource "yandex_compute_disk" "encrypted-disk" {
  name       = "new-encrypted-disk"
  type       = "network-hdd"
  zone       = "ru-central1-a"
  size       = 20
  block_size = 4096
  image_id   = "<идентификатор_незашифрованного_образа>"
  kms_key_id = yandex_kms_symmetric_key.my-key.id
}

# Создание зашифрованного образа

resource "yandex_compute_image" "encrypted-image" {
  name           = "<имя_зашифрованного_образа>"
  source_disk_id = yandex_compute_disk.encrypted-disk.id
  depends_on     = [yandex_compute_disk.encrypted-disk]
}

    Где:

    • image_id — идентификатор незашифрованного образа.
    • name — имя создаваемого зашифрованного образа.

    Более подробную информацию о параметрах ресурса yandex_compute_snapshot см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  3. Удалите зашифрованный диск.

  4. Удалите исходный образ.

  1. Создайте ключ шифрования Yandex Key Management Service с помощью метода REST API create для ресурса SymmetricKey или вызовом gRPC API SymmetricKeyService/Create.

  2. Создайте зашифрованный диск из образа, используя метод REST API create для ресурса Disk или вызов gRPC API DiskService/Create.

    Список доступных образов запрашивайте методом REST API list или вызовом gRPC API ImageService/List.

    После создания диск перейдет в статус Creating. Дождитесь, когда диск перейдет в статус Ready, прежде чем его использовать.

  3. Для зашифрованного диска создайте образ с помощью метода REST API create для ресурса Image или вызовом gRPC API ImageService/Create.

  4. Удалите зашифрованный диск, используя метод REST API delete для ресурса Disk или вызов gRPC API DiskService/Delete.

  5. Удалите исходный образ, используя метод REST API delete для ресурса Image или вызов gRPC API ImageService/Delete.

См. также

Предыдущая
Импортировать образ из другого облака или каталога
Следующая
Настроить права доступа к образу