Amazon EBS-Verschlüsselung

Verwenden Sie die Amazon EBS-Verschlüsselung als unkomplizierte Verschlüsselungslösung für Ihre Amazon EBS-Ressourcen, die mit Ihren Amazon-Instances verknüpft sind. EC2 Mit der Amazon EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, pflegen und sichern. Amazon EBS-Verschlüsselung nutzt AWS KMS keys beim Erstellen verschlüsselter Volumes und Snapshots.

Verschlüsselungsvorgänge finden auf den Servern statt, die EC2 Instances hosten, wodurch die Sicherheit sowohl einer Instance als auch data-in-transit zwischen einer Instance data-at-rest und dem zugehörigen EBS-Speicher gewährleistet wird.

Sie können diesen Instances sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen. Alle EC2 Amazon-Instance-Typen unterstützen die Amazon EBS-Verschlüsselung.

Inhalt

Verschlüsseln von EBS-Ressourcen

Sie verschlüsseln EBS-Volumes, indem Sie die Verschlüsselung aktivieren. Hierzu verwenden Sie entweder die standardmäßige Verschlüsselung oder aktivieren die Verschlüsselung beim Erstellen eines Volumes, das Sie verschlüsseln möchten.

Wenn Sie ein Volume verschlüsseln, können Sie den symmetrischen KMS-Schlüssel zur Verschlüsselung angeben, der für die Verschlüsselung des Volumes verwendet wird. Wenn Sie keinen Verschlüsselung angeben, ist der für die Verschlüsselung verwendete Verschlüsselung vom Verschlüsselungszustand des Quell-Snapshots und von dessen Besitzer abhängig. Weitere Informationen finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Anmerkung

Wenn Sie die API verwenden oder AWS CLI einen KMS-Schlüssel angeben, beachten Sie, dass der KMS-Schlüssel AWS asynchron authentifiziert wird. Wenn Sie eine Verschlüsselung-ID, einen Aliasnamen oder ARN angeben, die nicht gültig sind, kann es so wirken, als würde die Aktion abgeschlossen, aber schlussendlich schlägt sie fehl.

Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder Volume verknüpft ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.

Verschlüsseln eines leeren Volumes bei der Erstellung

Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es durch die Aktivierung der Verschlüsselung für den spezifischen Volume-Erstellungsvorgang verschlüsseln. Wenn Sie standardmäßig die EBS-Verschlüsselung aktiviert haben, wird das Volume automatisch mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Alternativ können Sie einen anderen symmetrischen KMS-Schlüssel zur Verschlüsselung für den spezifischen Volume-Erstellungsvorgang angeben. Das Volume ist zum Zeitpunkt der Verfügbarkeit verschlüsselt, sodass Ihre Daten stets sicher sind. Die detaillierten Schritte finden Sie unter Erstellen Sie ein Amazon EBS-Volume.

Standardmäßig verschlüsselt der beim Erstellen des Volumes ausgewählte Verschlüsselung die Snapshots, die Sie für das Volume erstellen, und die Volumes, die Sie aus diesen verschlüsselten Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Das bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, stets verschlüsselt ist.

Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Detaillierte Anweisungen finden Sie unter Einen Amazon EBS-Snapshot mit anderen AWS Konten teilen.

Verschlüsseln unverschlüsselter Ressourcen

Vorhandene unverschlüsselte Volumes oder Snapshots können nicht direkt verschlüsselt werden. Sie können jedoch verschlüsselte Volumes oder Snapshots aus unverschlüsselten Volumes oder Snapshots erstellen. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, verschlüsselt Amazon EBS automatisch neue Volumes oder Snapshots mit Ihrem Standard-KMS-Schlüssel für die EBS-Verschlüsselung. Andernfalls können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren, indem Sie entweder den Standard-KMS-Schlüssel für die Amazon-EBS-Verschlüsselung oder einen symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden. Weitere Informationen erhalten Sie unter Erstellen Sie ein Amazon EBS-Volume und Kopieren Sie einen Amazon EBS-Snapshot.

Um die Snapshot-Kopie in Kundenverwalteter Schlüssel zu verschlüsseln, müssen Sie sowohl die Verschlüsselung aktivieren als auch Verschlüsselung angeben, wie in Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert) gezeigt.

Wichtig

Amazon EBS unterstützt keine asymmetrischen KMS-Schlüssel zur Verschlüsselung. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen KMS-Schlüsseln zur Verschlüsselung im AWS Key Management Service -Benutzerhandbuch.

Sie können neue Verschlüsselungszustände auch anwenden, wenn Sie eine Instance aus einem EBS-gestützten AMI starten. Dies liegt daran, dass EBS-gestützte Snapshots von EBS-Volumes AMIs enthalten, die wie beschrieben verschlüsselt werden können. Weitere Informationen finden Sie unter Verwenden von Verschlüsselung mit EBS-gestützter Verschlüsselung. AMIs

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Lokale Schnappschüsse in speziellen Local Zones

So funktioniert die EBS-Verschlüsselung