So funktioniert die Amazon EBS-Verschlüsselung - Amazon EBS
So funktioniert die EBS-Verschlüsselung bei verschlüsseltem SnapshotSo funktioniert die EBS-Verschlüsselung bei unverschlüsseltem SnapshotAuswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Amazon EBS-Verschlüsselung

Sie können sowohl das Boot- als auch das Datenvolume einer EC2 Instance verschlüsseln.

Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

Amazon EBS verschlüsselt Ihr Volume mit einem Datenschlüssel unter Verwendung der branchenüblichen AES-256-Datenverschlüsselung. Der Datenschlüssel wird von einem Schlüssel generiert AWS KMS und anschließend AWS KMS mit einem AWS KMS Schlüssel verschlüsselt, bevor er zusammen mit Ihren Volumeninformationen gespeichert wird. Amazon EBS erstellt Von AWS verwalteter Schlüssel in jeder Region, in der Sie Amazon EBS-Ressourcen erstellen, automatisch eine eindeutige. Der Alias für den KMS-Schlüssel lautet. aws/ebs Amazon EBS verwendet standardmäßig diesen Verschlüsselung für die Verschlüsselung. Alternativ können Sie einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, den Sie selbst erstellen. Die Verwendung eines eigenen Verschlüsselung gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, KMS-Schlüssel zu erstellen, zu rotieren und zu deaktivieren.

Amazon verwendet EC2 , AWS KMS um Ihre EBS-Volumes auf leicht unterschiedliche Weise zu ver- und entschlüsseln, je nachdem, ob der Snapshot, aus dem Sie ein verschlüsseltes Volume erstellen, verschlüsselt oder unverschlüsselt ist.

So funktioniert die EBS-Verschlüsselung bei verschlüsseltem Snapshot

Wenn Sie aus einem verschlüsselten Snapshot, den Sie besitzen, ein verschlüsseltes Volume erstellen, verschlüsselt und entschlüsselt Amazon EC2 Ihre EBS-Volumes wie folgt: AWS KMS

  1. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage mit Angabe des KMS-Schlüssels AWS KMS, den Sie für die Volumenverschlüsselung ausgewählt haben, an.

  2. Wenn das Volume mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt ist, AWS KMS verwendet es denselben Datenschlüssel wie der Snapshot und verschlüsselt ihn unter demselben KMS-Schlüssel. Wenn das Volume mit einem anderen KMS-Schlüssel verschlüsselt ist, AWS KMS generiert es einen neuen Datenschlüssel und verschlüsselt ihn unter dem von Ihnen angegebenen KMS-Schlüssel. Der verschlüsselte Datenschlüssel wird an Amazon EBS gesendet, damit er mit den Volume-Metadaten gespeichert wird.

  3. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, EC2 sendet Amazon eine CreateGrantAnfrage an, AWS KMS damit es den Datenschlüssel entschlüsseln kann.

  4. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon. EC2

  5. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatten-I/O auf dem Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

So funktioniert die EBS-Verschlüsselung bei unverschlüsseltem Snapshot

Wenn Sie ein verschlüsseltes Volume aus einem unverschlüsselten Snapshot erstellen, verschlüsselt und entschlüsselt Amazon EC2 Ihre EBS-Volumes wie folgt: AWS KMS

  1. Amazon EC2 sendet eine CreateGrantAnfrage an AWS KMS, damit es das Volume verschlüsseln kann, das aus dem Snapshot erstellt wurde.

  2. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage mit Angabe des KMS-Schlüssels AWS KMS, den Sie für die Volumenverschlüsselung ausgewählt haben, an.

  3. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem KMS-Schlüssel, den Sie für die Volumenverschlüsselung ausgewählt haben, und sendet den verschlüsselten Datenschlüssel an Amazon EBS, damit er zusammen mit den Volume-Metadaten gespeichert wird.

  4. Amazon EC2 sendet eine Decrypt-Anfrage an AWS KMS , um den verschlüsselten Datenschlüssel zu entschlüsseln, den es dann zum Verschlüsseln der Volumendaten verwendet.

  5. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, EC2 sendet Amazon eine CreateGrantAnfrage an AWS KMS, damit es den Datenschlüssel entschlüsseln kann.

  6. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, EC2 sendet Amazon unter Angabe des verschlüsselten Datenschlüssels eine Decrypt-Anfrage an. AWS KMS

  7. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon. EC2

  8. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatten-I/O auf dem Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

Weitere Informationen finden Sie unter So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS und EC2Amazon-Beispiel zwei im AWS Key Management Service Entwicklerhandbuch.

Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der Schlüsselstatus des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in kryptografischen Vorgängen schlagen fehl.

Wenn Sie eine Aktion ausführen, die den KMS-Schlüssel unbrauchbar macht, hat dies keine unmittelbaren Auswirkungen auf die EC2 Instance oder die angehängten EBS-Volumes. Amazon EC2 verwendet den Datenschlüssel, nicht den KMS-Schlüssel, um alle Festplatten-I/O zu verschlüsseln, während das Volume an die Instance angehängt ist.

Wenn das verschlüsselte EBS-Volume jedoch von der EC2 Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wenn das verschlüsselte EBS-Volume das nächste Mal an eine EC2 Instance angehängt wird, schlägt der Anhang fehl, da Amazon EBS den KMS-Schlüssel nicht verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.

Tipp

Wenn Sie nicht mehr auf Daten zugreifen möchten, die auf einem EBS-Volume gespeichert sind, das mit einem Datenschlüssel verschlüsselt wurde, der aus einem KMS-Schlüssel generiert wurde, den Sie unbrauchbar machen möchten, empfehlen wir, das EBS-Volume von der EC2 Instance zu trennen, bevor Sie den KMS-Schlüssel unbrauchbar machen.

Weitere Informationen finden Sie unter Wie sich unbrauchbare KMS-Schlüssel auf Datenschlüssel auswirken  im AWS Key Management Service -Entwicklerhandbuch.