Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon EBS-Verschlüsselung
Verwenden Sie die Amazon EBS-Verschlüsselung als unkomplizierte Verschlüsselungslösung für Ihre Amazon EBS-Ressourcen, die mit Ihren Amazon EC2 EC2-Instances verknüpft sind. Mit der Amazon EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, pflegen und sichern. Amazon EBS-Verschlüsselung nutzt AWS KMS keys beim Erstellen verschlüsselter Volumes und Snapshots.
Verschlüsselungsvorgänge finden auf den Servern statt, die EC2-Instances hosten, wodurch die Sicherheit sowohl einer Instance als auch data-in-transit zwischen einer Instance data-at-rest und dem angeschlossenen EBS-Speicher gewährleistet wird.
Sie können diesen Instances sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen. Alle Amazon EC2 EC2-Instance-Typen unterstützen die Amazon EBS-Verschlüsselung.
**Topics**
+ [So funktioniert die Amazon EBS-Verschlüsselung](how-ebs-encryption-works.md)
+ [Anforderungen für die Amazon EBS-Verschlüsselung](ebs-encryption-requirements.md)
+ [Amazon EBS-Verschlüsselung standardmäßig aktivieren](encryption-by-default.md)
+ [Verschlüsseln von EBS-Ressourcen](#encryption-parameters)
+ [AWS KMS Schlüssel, die für die Amazon EBS-Verschlüsselung verwendet werden, rotieren](kms-key-rotation.md)
+ [Beispiele für Amazon EBS-Verschlüsselung](encryption-examples.md)
# So funktioniert die Amazon EBS-Verschlüsselung
Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln.
Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:
+ Die auf dem Volume gespeicherten Daten
+ Alle Daten, die zwischen dem Volume und der Instance verschoben werden
+ Alle Snapshots, die von dem Volume erstellt werden
+ Alle Volumes, die von diesen Snapshots erstellt werden
Amazon EBS verschlüsselt Ihr Volume mit einem [Datenschlüssel unter Verwendung der branchenüblichen AES-256-Datenverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys). Der Datenschlüssel wird von einem Schlüssel generiert AWS KMS und anschließend AWS KMS mit einem AWS KMS Schlüssel verschlüsselt, bevor er zusammen mit Ihren Volumeninformationen gespeichert wird. Amazon EBS erstellt Von AWS verwalteter Schlüssel in jeder Region, in der Sie Amazon EBS-Ressourcen erstellen, automatisch ein eindeutiges Objekt. Der [Alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) für den KMS-Schlüssel lautet. `aws/ebs` Amazon EBS verwendet standardmäßig diesen Verschlüsselung für die Verschlüsselung. Alternativ können Sie einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, den Sie selbst erstellen. Die Verwendung eines eigenen Verschlüsselung gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, KMS-Schlüssel zu erstellen, zu rotieren und zu deaktivieren.
Amazon EC2 verwendet AWS KMS , um Ihre EBS-Volumes auf leicht unterschiedliche Weise zu ver- und entschlüsseln, je nachdem, ob der Snapshot, aus dem Sie ein verschlüsseltes Volume erstellen, verschlüsselt oder unverschlüsselt ist.
## So funktioniert die EBS-Verschlüsselung bei verschlüsseltem Snapshot
Wenn Sie aus einem verschlüsselten Snapshot, den Sie besitzen, ein verschlüsseltes Volume erstellen, verschlüsselt und entschlüsselt Amazon EC2 Ihre EBS-Volumes wie folgt: AWS KMS
1. Amazon EC2 sendet eine [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Anfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.
1. Wenn das Volume mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt ist, AWS KMS verwendet es denselben Datenschlüssel wie der Snapshot und verschlüsselt ihn unter demselben KMS-Schlüssel. Wenn das Volume mit einem anderen KMS-Schlüssel verschlüsselt ist, AWS KMS generiert es einen neuen Datenschlüssel und verschlüsselt ihn unter dem von Ihnen angegebenen KMS-Schlüssel. Der verschlüsselte Datenschlüssel wird an Amazon EBS gesendet, damit er mit den Volume-Metadaten gespeichert wird.
1. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an, AWS KMS damit es den Datenschlüssel entschlüsseln kann.
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.
1. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatte I/O auf das Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.
## So funktioniert die EBS-Verschlüsselung bei unverschlüsseltem Snapshot
Wenn Sie ein verschlüsseltes Volume aus einem unverschlüsselten Snapshot erstellen, arbeitet Amazon EC2 wie folgt mit AWS KMS zusammen, um Ihre EBS-Volumes zu ver- und entschlüsseln:
1. Amazon EC2 sendet eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS, damit es das Volume verschlüsseln kann, das aus dem Snapshot erstellt wurde.
1. Amazon EC2 sendet eine [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Anfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.
1. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem KMS-Schlüssel, den Sie für die Volumenverschlüsselung ausgewählt haben, und sendet den verschlüsselten Datenschlüssel an Amazon EBS, damit er zusammen mit den Volume-Metadaten gespeichert wird.
1. Amazon EC2 sendet eine [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), AWS KMS um den verschlüsselten Datenschlüssel zu entschlüsseln, den es dann zum Verschlüsseln der Volumendaten verwendet.
1. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS, damit es den Datenschlüssel entschlüsseln kann.
1. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) unter Angabe des verschlüsselten Datenschlüssels an AWS KMS.
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.
1. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatte I/O auf das Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.
Weitere Informationen finden Sie unter [So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) und [Amazon EC2 – Beispiel zwei](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel
Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der Schlüsselstatus des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in kryptografischen Vorgängen schlagen fehl.
Wenn Sie eine Aktion ausführen, die den KMS-Schlüssel unbrauchbar macht, hat dies keine unmittelbaren Auswirkungen auf die EC2-Instance oder die angehängten EBS-Volumes. Amazon EC2 verwendet den Datenschlüssel, nicht den KMS-Schlüssel, um die gesamte Festplatte zu verschlüsseln, I/O während das Volume an die Instance angehängt ist.
Wenn jedoch das verschlüsselte EBS-Volume von der EC2-Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wird das verschlüsselte EBS-Volume dann wieder an eine EC2-Instance angefügt, schlägt dies fehl, weil Amazon EBS nicht den KMS-Schlüssel verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.
**Tipp**
Wenn Sie nicht mehr auf Daten zugreifen möchten, die auf einem EBS-Volume gespeichert sind, das mit einem aus einem KMS-Schlüssel generierten Datenschlüssel verschlüsselt ist, den Sie unbrauchbar machen möchten, empfehlen wir, das EBS-Volume von der EC2-Instance zu trennen, bevor Sie den KMS-Schlüssel unbrauchbar machen.
Weitere Informationen finden Sie unter [Wie sich unbrauchbare KMS-Schlüssel auf Datenschlüssel auswirken](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) im *AWS Key Management Service -Entwicklerhandbuch*.
# Anforderungen für die Amazon EBS-Verschlüsselung
Prüfen Sie, ob die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:
**Topics**
+ [Unterstützte Volume-Typen](#ebs-encryption-volume-types)
+ [Unterstützte Instance-Typen](#ebs-encryption_supported_instances)
+ [Berechtigungen für --Benutzer](#ebs-encryption-permissions)
+ [Berechtigungen für Instances](#ebs-encryption-instance-permissions)
## Unterstützte Volume-Typen
Die Verschlüsselung wird von allen Arten von EBS-Volumes unterstützt. Sie können bei verschlüsselten Volumes dieselbe IOPS-Leistung voraussetzen wie bei unverschlüsselten Volumes, mit minimalen Auswirkungen auf die Latenz. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Ver- und Entschlüsselung werden transparent behandelt und erfordern von Ihnen oder Ihren Anwendungen keine weiteren Aktionen.
## Unterstützte Instance-Typen
Die Amazon EBS-Verschlüsselung ist für alle Instance-Typen der [aktuellen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) und [der vorherigen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances) verfügbar.
## Berechtigungen für --Benutzer
Wenn Sie einen KMS-Schlüssel für die EBS-Verschlüsselung verwenden, ermöglicht die KMS-Schlüsselrichtlinie jedem Benutzer mit Zugriff auf die erforderlichen AWS KMS Aktionen, diesen KMS-Schlüssel zum Verschlüsseln oder Entschlüsseln von EBS-Ressourcen zu verwenden. Sie müssen Benutzern die Berechtigung zum Aufrufen der folgenden Aktionen gewähren, um die EBS-Verschlüsselung zu verwenden:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`
**Tipp**
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den `kms:GrantIsForAWSResource` Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [Ermöglicht den Zugriff auf das AWS Konto und aktiviert IAM-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) im Abschnitt **Standardschlüsselrichtlinie** im *AWS Key Management Service Entwicklerhandbuch*.
## Berechtigungen für Instances
Wenn eine Instance versucht, mit einem verschlüsselten AMI, Volume oder Snapshot zu interagieren, wird der reine Identitätsrolle der Instance ein KMS-Schlüssel gewährt. Bei der Rolle „Nur Identität“ handelt es sich um eine IAM-Rolle, die von der Instance verwendet wird, um in Ihrem Namen mit verschlüsselten Dateien AMIs, Volumes oder Snapshots zu interagieren.
Reine Identitätsrollen müssen nicht manuell erstellt oder gelöscht werden, und ihnen sind keine Richtlinien zugeordnet. Außerdem haben Sie keinen Zugriff auf die Anmeldeinformationen, die nur für Identitätsrollen gelten.
**Anmerkung**
Reine Identitätsrollen werden von Anwendungen auf Ihrer Instance nicht für den Zugriff auf andere AWS KMS verschlüsselte Ressourcen wie Amazon S3 S3-Objekte oder Dynamo-DB-Tabellen verwendet. Diese Operationen werden mit den Anmeldeinformationen einer Amazon EC2 EC2-Instance-Rolle oder anderen AWS Anmeldeinformationen ausgeführt, die Sie auf Ihrer Instance konfiguriert haben.
Reine Identitätsrollen unterliegen den Richtlinien zur [Servicekontrolle (SCPs) und den Schlüsselrichtlinien](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) von [KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Wenn ein SCP- oder KMS-Schlüssel der reinen Identitätsrolle den Zugriff auf einen KMS-Schlüssel verweigert, können Sie EC2-Instances möglicherweise nicht mit verschlüsselten Volumes oder mit verschlüsselten oder Snapshots starten. AMIs
Wenn Sie eine SCP- oder Schlüsselrichtlinie erstellen, die den Zugriff anhand des Netzwerkstandorts mithilfe der `aws:SourceVpce` AWS globalen Bedingungsschlüssel`aws:SourceIp`,, oder verweigert `aws:VpcSourceIp``aws:SourceVpc`, müssen Sie sicherstellen, dass diese Richtlinienanweisungen nicht für reine Instanzrollen gelten. Beispiele für Richtlinien finden Sie unter [Beispiele für Datenperimeter-Richtlinien](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).
Für die Rolle „Nur Identität“ wird das folgende Format verwendet: ARNs
```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```
Wenn einer Instance ein Schlüssel gewährt wird, wird der Schlüssel an die für diese spezielle Instance geltende Sitzung mit der angenommenen Rolle gewährt. Der Prinzipal-ARN des Bewilligungsempfängers verwendet das folgende Format:
```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```
# Amazon EBS-Verschlüsselung standardmäßig aktivieren
Sie können Ihr AWS Konto so konfigurieren, dass die Verschlüsselung der neuen EBS-Volumes und Snapshot-Kopien, die Sie erstellen, erzwungen wird. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter [Verschlüsseln unverschlüsselter Ressourcen](ebs-encryption.md#encrypt-unencrypted).
Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus.
**Überlegungen**
+ Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.
+ Die Amazon EBS-Verschlüsselung wird standardmäßig auf allen Instance-Typen der [aktuellen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) und [der vorherigen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances) unterstützt.
+ Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.
------
#### [ Console ]
**So aktivieren Sie die standardmäßige Verschlüsselung für eine Region**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der Navigationsleiste die Region aus.
1. Wählen Sie im Navigationsbereich die Option **EC2 Dashboard** aus.
1. Wählen Sie oben rechts auf der Seite **Kontoattribute**, **Datenschutz und Sicherheit** aus.
1. **Wählen Sie im Bereich **EBS-Verschlüsselung** die Option Verwalten aus.**
1. Wählen Sie **Enable (Aktivieren)**. Sie behalten den Von AWS verwalteter Schlüssel mit dem in Ihrem Namen `aws/ebs` erstellten Alias als Standard-Verschlüsselungsschlüssel bei oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel.
1. Wählen Sie **Update EBS encryption (EBS-Verschlüsselung aktualisieren)**.
------
#### [ AWS CLI ]
**Um die Standardeinstellung der Verschlüsselung anzuzeigen**
Verwenden Sie den Befehl [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html).
+ Für eine bestimmte Region
```
aws ec2 get-ebs-encryption-by-default --region region
```
+ Für alle Regionen in Ihrem Konto
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**So aktivieren Sie die Verschlüsselung standardmäßig**
Verwenden Sie den Befehl [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Für eine bestimmte Region
```
aws ec2 enable-ebs-encryption-by-default --region region
```
+ Für alle Regionen in Ihrem Konto
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**So deaktivieren Sie die Verschlüsselung standardmäßig**
Verwenden Sie den Befehl [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Für eine bestimmte Region
```
aws ec2 disable-ebs-encryption-by-default --region region
```
+ Für alle Regionen in Ihrem Konto
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
------
#### [ PowerShell ]
**Um die Standardeinstellung der Verschlüsselung anzuzeigen**
Verwenden Sie das cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html).
+ Für eine bestimmte Region
```
Get-EC2EbsEncryptionByDefault -Region region
```
+ Für alle Regionen in Ihrem Konto
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**So aktivieren Sie die Verschlüsselung standardmäßig**
Verwenden Sie das cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html).
+ Für eine bestimmte Region
```
Enable-EC2EbsEncryptionByDefault -Region region
```
+ Für alle Regionen in Ihrem Konto
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**So deaktivieren Sie die Verschlüsselung standardmäßig**
Verwenden Sie das cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html).
+ Für eine bestimmte Region
```
Disable-EC2EbsEncryptionByDefault -Region region
```
+ Für alle Regionen in Ihrem Konto
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
------
Sie können den KMS-Schlüssel, der einem vorhandenen Snapshot oder einem verschlüsselten Volume zugeordnet ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.
## Verschlüsseln von EBS-Ressourcen
Sie verschlüsseln EBS-Volumes, indem Sie die Verschlüsselung aktivieren. Hierzu verwenden Sie entweder die [standardmäßige Verschlüsselung](encryption-by-default.md) oder aktivieren die Verschlüsselung beim Erstellen eines Volumes, das Sie verschlüsseln möchten.
Wenn Sie ein Volume verschlüsseln, können Sie den symmetrischen KMS-Schlüssel zur Verschlüsselung angeben, der für die Verschlüsselung des Volumes verwendet wird. Wenn Sie keinen Verschlüsselung angeben, ist der für die Verschlüsselung verwendete Verschlüsselung vom Verschlüsselungszustand des Quell-Snapshots und von dessen Besitzer abhängig. Weitere Informationen finden Sie in der [Tabelle der Verschlüsselungsergebnisse](encryption-examples.md#ebs-volume-encryption-outcomes).
**Anmerkung**
Wenn Sie die API verwenden oder AWS CLI einen KMS-Schlüssel angeben, beachten Sie, dass der KMS-Schlüssel asynchron AWS authentifiziert wird. Wenn Sie eine Verschlüsselung-ID, einen Aliasnamen oder ARN angeben, die nicht gültig sind, kann es so wirken, als würde die Aktion abgeschlossen, aber schlussendlich schlägt sie fehl.
Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder Volume verknüpft ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.
### Verschlüsseln eines leeren Volumes bei der Erstellung
Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es durch die Aktivierung der Verschlüsselung für den spezifischen Volume-Erstellungsvorgang verschlüsseln. Wenn Sie standardmäßig die EBS-Verschlüsselung aktiviert haben, wird das Volume automatisch mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Alternativ können Sie einen anderen symmetrischen KMS-Schlüssel zur Verschlüsselung für den spezifischen Volume-Erstellungsvorgang angeben. Das Volume ist zum Zeitpunkt der Verfügbarkeit verschlüsselt, sodass Ihre Daten stets sicher sind. Die detaillierten Schritte finden Sie unter [Erstellen Sie ein Amazon EBS-Volume](ebs-creating-volume.md).
Standardmäßig verschlüsselt der beim Erstellen des Volumes ausgewählte Verschlüsselung die Snapshots, die Sie für das Volume erstellen, und die Volumes, die Sie aus diesen verschlüsselten Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Das bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, stets verschlüsselt ist.
Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Detaillierte Anweisungen finden Sie unter [Einen Amazon EBS-Snapshot mit anderen AWS Konten teilen](ebs-modifying-snapshot-permissions.md).
### Verschlüsseln unverschlüsselter Ressourcen
Sie können vorhandene unverschlüsselte Volumes oder Snapshots nicht direkt verschlüsseln.
Um ein unverschlüsseltes Volume zu verschlüsseln, erstellen Sie einen Snapshot dieses Volumes und verwenden Sie dann den Snapshot, um ein neues verschlüsseltes Volume zu erstellen. Weitere Informationen erhalten Sie unter [Erstellen von -Snapshots](ebs-create-snapshot.md) und [Ein Volume erstellen](ebs-creating-volume.md).
Um einen unverschlüsselten Snapshot zu verschlüsseln, erstellen Sie eine verschlüsselte Kopie dieses Snapshots. Weitere Informationen finden Sie unter [Kopieren eines -Snapshots](ebs-copy-snapshot.md).
Wenn Sie Ihr Konto standardmäßig für die Verschlüsselung aktivieren, werden Volumes und Snapshot-Kopien, die aus unverschlüsselten Snapshots erstellt wurden, immer verschlüsselt. Andernfalls müssen Sie die Verschlüsselungsparameter in der Anfrage angeben. Weitere Informationen finden Sie unter [Aktivieren Sie die Verschlüsselung standardmäßig](encryption-by-default.md).
# AWS KMS Schlüssel, die für die Amazon EBS-Verschlüsselung verwendet werden, rotieren
Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab.
Um neues kryptografisches Material für die Verwendung mit der Amazon EBS-Verschlüsselung zu erstellen, können Sie entweder einen neuen vom Kunden verwalteten Schlüssel erstellen und dann Ihre Anwendungen so ändern, dass sie diesen neuen KMS-Schlüssel verwenden. Oder Sie können die automatische Schlüsselrotation für einen vorhandenen, vom Kunden verwalteten Schlüssel aktivieren.
Wenn Sie die automatische Schlüsselrotation für einen vom Kunden verwalteten Schlüssel aktivieren, AWS KMS generiert jedes Jahr neues kryptografisches Material für den KMS-Schlüssel. AWS KMS speichert alle früheren Versionen des kryptografischen Materials, sodass Sie Volumes und Snapshots, die zuvor mit diesem KMS-Schlüsselmaterial verschlüsselt wurden, weiter entschlüsseln und verwenden können. AWS KMS löscht kein rotiertes Schlüsselmaterial, bis Sie den KMS-Schlüssel löschen.
Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel zum Verschlüsseln eines neuen Volumes oder Snapshots verwenden, AWS KMS verwendet das aktuelle (neue) Schlüsselmaterial. Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel verwenden, um ein Volume oder einen Snapshot zu entschlüsseln, AWS KMS verwendet die Version des kryptografischen Materials, das zur Verschlüsselung verwendet wurde. Wenn ein Volume oder ein Snapshot mit einer früheren Version des kryptografischen Materials verschlüsselt ist, verwendet Sie AWS KMS weiterhin diese vorherige Version, um es zu entschlüsseln. AWS KMS verschlüsselt zuvor verschlüsselte Volumes oder Snapshots nicht erneut, um das neue kryptografische Material nach einer Schlüsselrotation zu verwenden. Sie bleiben mit dem kryptografischen Material verschlüsselt, mit dem sie ursprünglich verschlüsselt wurden. Sie können einen rotierten, vom Kunden verwalteten Schlüssel sicher in Anwendungen und AWS Diensten verwenden, ohne dass Codeänderungen erforderlich sind.
**Anmerkung**
Die automatische Schlüsselrotation wird nur für symmetrische, vom Kunden verwaltete Schlüssel mit Schlüsselmaterial unterstützt, das AWS KMS erstellt.
AWS KMS wechselt automatisch Von AWS verwaltete Schlüssel jedes Jahr. Sie können die Schlüsselrotation von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.
Weitere Informationen finden Sie unter [Rotieren von KMS-Schlüsseln](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) im *Entwicklerhandbuch von AWS Key Management Service *.
# Beispiele für Amazon EBS-Verschlüsselung
Wenn Sie eine verschlüsselte EBS-Ressource erstellen, wird sie mit dem Standard-VerschlüsselungIhres Kontos für die EBS-Verschlüsselung verschlüsselt, wenn Sie in den Parametern für die Volume-Erstellung oder in der Blockgerät-Zuweisung für den AMI oder die Instance keinen anderen Kundenverwalteter Schlüssel angegeben haben.
Das folgende Beispiel zeigt die Verwaltung des Verschlüsselungszustands Ihrer Volumes und Snapshots. Die vollständige Liste der Verschlüsselungsszenarien finden Sie in der [Tabelle der Verschlüsselungsergebnisse](#ebs-volume-encryption-outcomes).
**Topics**
+ [Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)](#volume-account-off)
+ [Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung aktiviert)](#volume-account-on)
+ [Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert)](#snapshot-account-off)
+ [Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung aktiviert)](#snapshot-account-on)
+ [Erneutes Verschlüsseln eines verschlüsselten Volumes](#reencrypt-volume)
+ [Erneutes Verschlüsseln eines verschlüsselten Snapshots](#reencrypt-snapshot)
+ [Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes](#migrate-data-encrypted-unencrypted)
+ [Verschlüsselungsergebnisse](#ebs-volume-encryption-outcomes)
## Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)
Ohne die aktivierte standardmäßige Verschlüsselung ist ein Volume, das aus einem unverschlüsselten Snapshot wiederhergestellt wurde, standardmäßig unverschlüsselt. Sie können jedoch das resultierende Volume verschlüsseln, indem Sie den `Encrypted`-Parameter und optional den `KmsKeyId`-Parameter festlegen. Das folgende Diagramm zeigt den Prozess.
![\[Wenn Sie ein Volume aus einem unverschlüsselten Snapshot erstellen, geben Sie einen KMS-Schlüssel an, um ein verschlüsseltes Volume zu erstellen.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/volume-encrypt-account-off.png)
Wenn Sie den Parameter `KmsKeyId` auslassen, wird das resultierende Volume mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselung-ID angeben, um das Volume mit einem anderen Verschlüsselung zu verschlüsseln.
Weitere Informationen finden Sie unter [Erstellen Sie ein Amazon EBS-Volume](ebs-creating-volume.md).
## Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung aktiviert)
Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für Volumes, die aus unverschlüsselten Snapshots wiederhergestellt wurden, zwingend erforderlich und es sind keine Verschlüsselungsparameter für Ihren Standard-Verschlüsselung erforderlich. Im folgenden Diagramm wird dieser einfache Standardfall veranschaulicht:
![\[Wenn Sie ein Volume aus einem unverschlüsselten Snapshot erstellen, die Verschlüsselung jedoch standardmäßig aktiviert ist, verwenden wir den Standard-KMS-Schlüssel, um ein verschlüsseltes Volume zu erstellen.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/volume-encrypt-account-on.png)
Wenn Sie das wiederhergestellte Volume mit einem symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsseln möchten, müssen Sie sowohl die `Encrypted`- als auch die `KmsKeyId`-Parameter, wie in [Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)](#volume-account-off) gezeigt, angeben.
## Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert)
Ohne aktivierte standardmäßige Verschlüsselung ist eine unverschlüsselte Snapshot-Kopie standardmäßig unverschlüsselt. Sie können jedoch den resultierenden Snapshot verschlüsseln, indem Sie den `Encrypted`-Parameter und optional den `KmsKeyId`-Parameter festlegen. Wenn Sie `KmsKeyId` weglassen, wird der resultierende Snapshot mit Ihrem Standard-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselungs-ID angeben, um das Volume mit einem anderen symmetrischen KMS-Schlüssel zur Verschlüsselung zu verschlüsseln.
Das folgende Diagramm zeigt den Prozess.
![\[Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)
Sie können ein EBS-Volume verschlüsseln, indem Sie einen unverschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren und dann ein Volume aus dem verschlüsselten Snapshot erstellen. Weitere Informationen finden Sie unter [Kopieren Sie einen Amazon EBS-Snapshot](ebs-copy-snapshot.md).
## Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung aktiviert)
Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für unverschlüsselte Snapshot-Kopien zwingend erforderlich und es sind keine Verschlüsselungsparameter erforderlich, wenn der Standard-Verschlüsselung verwendet wird. Das folgende Diagramm veranschaulicht diesen Standardfall.
![\[Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)
## Erneutes Verschlüsseln eines verschlüsselten Volumes
Wenn die `CreateVolume`-Aktion für einen verschlüsselten Snapshot ausgeführt wird, haben Sie die Möglichkeit, ihn mit einem anderen Verschlüsselung erneut zu verschlüsseln. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während der Volume-Erstellung wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch entschlüsselt und dann mit Verschlüsselung B erneut verschlüsselt.
![\[Kopieren eines verschlüsselten Snapshots und Verschlüsseln der Kopie mit einem neuen Verschlüsselung.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/volume-reencrypt.png)
Weitere Informationen finden Sie unter [Erstellen Sie ein Amazon EBS-Volume](ebs-creating-volume.md).
## Erneutes Verschlüsseln eines verschlüsselten Snapshots
Durch die Möglichkeit, einen Snapshot beim Kopieren zu verschlüsseln, können Sie einen neuen symmetrischen KMS-Schlüssel zur Verschlüsselung auf einen bereits verschlüsselten Snapshot anwenden, den Sie besitzen. Auf Volumes, die aus dieser verschlüsselten Kopie wiederhergestellt wurden, kann nur mit dem neuen Verschlüsselung zugegriffen werden. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während des Kopierens wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch mit Verschlüsselung B erneut verschlüsselt.
![\[Kopieren eines verschlüsselten Snapshots und Verschlüsseln der Kopie mit einem neuen Verschlüsselung.\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/images/snap-reencrypt.png)
Ein ähnliches Szenario liegt vor, wenn Sie neue Verschlüsselungsparameter auf eine Kopie eines Snapshot anwenden möchten, der für Sie freigegeben wurde. Die Kopie ist standardmäßig mit einem Verschlüsselung verschlüsselt, den der Eigentümer des Snapshots freigegeben hat. Wir empfehlen jedoch, dass Sie eine Kopie des geteilten Snapshot mit einem anderen Verschlüsselung, den Sie kontrollieren, erstellen. Dies schützt Ihren Zugriff auf das Volume, wenn der Original-Verschlüsselung kompromittiert wurde oder der Eigentümer den Verschlüsselung aus einem beliebigen Grund widerruft. Weitere Informationen finden Sie unter [Verschlüsselung und Kopieren von Snapshots](ebs-copy-snapshot.md#creating-encrypted-snapshots).
## Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes
Wenn Sie Zugriff auf ein verschlüsseltes und ein unverschlüsseltes Volume haben, können Sie jederzeit Daten vom einen zum anderen übertragen. EC2 führt die Verschlüsselungs- und Entschlüsselungsvorgänge auf transparente Weise aus.
### Linux-Instances
Verwenden Sie zum Beispiel den Befehl **rsync** zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in `/mnt/source` und das Ziel-Volume ist unter `/mnt/destination` gemountet.
```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```
### Windows-Instances
Verwenden Sie zum Beispiel den Befehl **robocopy** zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in `D:\` und das Ziel-Volume ist unter `E:\` gemountet.
```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```
Wir empfehlen die Verwendung von Ordnern, anstatt das gesamte Volume zu kopieren, da so potenzielle Probleme mit verborgenen Ordnern vermieden werden.
## Verschlüsselungsergebnisse
Die folgende Tabelle zeigt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ebs/latest/userguide/encryption-examples.html)
\$1 Dies ist der vom Kunden verwaltete Standardschlüssel, der für die EBS-Verschlüsselung für das AWS Konto und die Region verwendet wird. Standardmäßig ist dies ein eindeutiger Schlüssel Von AWS verwalteter Schlüssel für EBS, oder Sie können einen vom Kunden verwalteten Schlüssel angeben.
\$1\$1 Dies ist ein vom Kunden verwalteter Schlüssel, der beim Start für das Volume angegeben wurde. Dieser vom Kunden verwaltete Schlüssel wird anstelle des vom Kunden verwalteten Standardschlüssels für das AWS Konto und die Region verwendet.