Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Anforderungen für die Amazon EBS-Verschlüsselung

PDF
RSS
Fokusmodus
Anforderungen für die Amazon EBS-Verschlüsselung - Amazon EBS
Unterstützte Volume-TypenUnterstützte Instance-TypenBerechtigungen für --BenutzerBerechtigungen für Instances

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prüfen Sie, ob die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

Unterstützte Volume-Typen

Die Verschlüsselung wird von allen Arten von EBS-Volumes unterstützt. Sie können bei verschlüsselten Volumes dieselbe IOPS-Leistung voraussetzen wie bei unverschlüsselten Volumes, mit minimalen Auswirkungen auf die Latenz. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Ver- und Entschlüsselung werden transparent behandelt und erfordern von Ihnen oder Ihren Anwendungen keine weiteren Aktionen.

Unterstützte Instance-Typen

Die Amazon EBS-Verschlüsselung ist für alle Instance-Typen der aktuellen Generation und der vorherigen Generation verfügbar.

Berechtigungen für --Benutzer

Wenn Sie einen KMS-Schlüssel für die EBS-Verschlüsselung verwenden, ermöglicht die KMS-Schlüsselrichtlinie jedem Benutzer mit Zugriff auf die erforderlichen AWS KMS Aktionen, diesen KMS-Schlüssel zum Verschlüsseln oder Entschlüsseln von EBS-Ressourcen zu verwenden. Sie müssen Benutzern die Berechtigung zum Aufrufen der folgenden Aktionen gewähren, um die EBS-Verschlüsselung zu verwenden:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erlaubt Zugriff auf das AWS Konto und aktiviert IAM-Richtlinien im Abschnitt Standardschlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

Berechtigungen für Instances

Wenn eine Instance versucht, mit einem verschlüsselten AMI, Volume oder Snapshot zu interagieren, wird der reine Identitätsrolle der Instance ein KMS-Schlüssel gewährt. Bei der Rolle „Nur Identität“ handelt es sich um eine IAM-Rolle, die von der Instance verwendet wird, um in Ihrem Namen mit verschlüsselten Dateien AMIs, Volumes oder Snapshots zu interagieren.

Reine Identitätsrollen müssen nicht manuell erstellt oder gelöscht werden, und ihnen sind keine Richtlinien zugeordnet. Außerdem haben Sie keinen Zugriff auf die Anmeldeinformationen, die nur für Identitätsrollen gelten.

Anmerkung

Reine Identitätsrollen werden von Anwendungen auf Ihrer Instance nicht für den Zugriff auf andere AWS KMS verschlüsselte Ressourcen wie Amazon S3 S3-Objekte oder Dynamo-DB-Tabellen verwendet. Diese Operationen werden mit den Anmeldeinformationen einer EC2 Amazon-Instance-Rolle oder anderen AWS Anmeldeinformationen ausgeführt, die Sie für Ihre Instance konfiguriert haben.

Reine Identitätsrollen unterliegen den Richtlinien zur Servicekontrolle (SCPs) und den Schlüsselrichtlinien von KMS. Wenn ein SCP- oder KMS-Schlüssel der reinen Identitätsrolle den Zugriff auf einen KMS-Schlüssel verweigert, können Sie möglicherweise keine EC2 Instances mit verschlüsselten Volumes oder mit verschlüsselten oder Snapshots starten. AMIs

Wenn Sie eine SCP- oder Schlüsselrichtlinie erstellen, die den Zugriff anhand des Netzwerkstandorts mithilfe der globalen Bedingungsschlüsselaws:SourceIp,, oder der aws:SourceVpce AWS globalen Bedingungsschlüssel verweigert aws:VpcSourceIpaws:SourceVpc, müssen Sie sicherstellen, dass diese Richtlinienanweisungen nicht für reine Instanzrollen gelten. Beispiele für Richtlinien finden Sie unter Beispiele für Datenperimeter-Richtlinien.

Für die Rolle „Nur Identität“ wird das folgende Format verwendet: ARNs 

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Wenn einer Instance ein Schlüssel gewährt wird, wird der Schlüssel an die für diese spezielle Instance geltende Sitzung mit der angenommenen Rolle gewährt. Der Prinzipal-ARN des Bewilligungsempfängers verwendet das folgende Format:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.