阿里云容器服务ACK集群如何使用BYOK创建加密云盘

当您的业务因为安全需求或法规合规要求等原因，需要对存储在云盘上的数据进行加密保护时，您可以在ACK容器集群中使用云盘加密功能，无需构建、维护和保护自己的密钥管理基础设施，即可保护数据的隐私性和自主性。

使用BYOK创建加密云盘时，系统需要使用同一地域的密钥管理服务（KMS）提供的BYOK（Bring Your Own Key）。因此，首次通过控制台或者API使用云盘加密功能之前，您必须先开通密钥管理服务。

1. 创建BYOK

登录密钥管理服务控制台
创建BYOK并记录密钥ID：

2. 创建StorageClass使用BYOK

在ACK容器集群中新建StorageClass并配置encrypted: "true"kmsKeyId: <your BYOK> 使用BYOK，示例如下：

$ cat storageclass-ssd-byok