Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In diesem Thema wird ausführlich beschrieben, wie Amazon Elastic Block Store (Amazon EBS) AWS KMS Volumes und Snapshots verschlüsselt. Grundlegende Anweisungen zur Verschlüsselung von EBS-Volumes finden Sie unter Amazon EBS-Verschlüsselung.
Themen
Amazon-EBS-Verschlüsselung
Wenn Sie ein verschlüsseltes Amazon EBS-Volume an einen unterstützten Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Typ anhängen, werden die auf dem Volume gespeicherten Daten, Festplatten-I/O und die vom Volume erstellten Snapshots alle verschlüsselt. Die Verschlüsselung erfolgt auf den Servern, die EC2 Amazon-Instances hosten.
Diese Funktion wird für alle Typen von Amazon-EBS-Volumes unterstützt. Sie greifen auf verschlüsselte Volumes genauso zu wie auf andere Volumes. Verschlüsselung und Entschlüsselung werden transparent gehandhabt und erfordern keine zusätzlichen Maßnahmen von Ihnen, Ihrer EC2 Instance oder Ihrer Anwendung. Snapshots von verschlüsselten Volumes werden automatisch verschlüsselt, genau wie Volumes, die auf Basis verschlüsselter Snapshots erstellt werden.
Der Verschlüsselungsstatus eines EBS-Volume wird bei der Erstellung des Volume bestimmt. Der Verschlüsselungsstatus eines vorhandenen Volume kann nicht geändert werden. Sie können jedoch Daten zwischen verschlüsselten und nicht verschlüsselten Volumes migrieren und beim Kopieren eines Snapshots einen neuen Verschlüsselungsstatus anwenden.
Amazon EBS unterstützt standardmäßig optionale Verschlüsselung. Sie können die Verschlüsselung automatisch für alle neuen EBS-Volumes und Snapshot-Kopien in Ihrer Region und Ihrer AWS-Konto Region aktivieren. Diese Konfigurationseinstellung hat keine Auswirkungen auf vorhandene Volumes oder Snapshots. Einzelheiten finden Sie unter Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch.
Verwenden von KMS-Schlüsseln und Datenschlüsseln
Wenn Sie ein verschlüsseltes Amazon-EBS-Volume erstellen, geben Sie einen AWS KMS key an. Amazon EBS verwendet standardmäßig Von AWS verwalteter Schlüssel für Amazon EBS in Ihrem Konto (aws/ebs). Sie können jedoch einen kundenverwalteten Schlüssel angeben, den Sie erstellen und verwalten.
Um einen kundenverwalteten Schlüssel zu verwenden, müssen Sie Amazon EBS die Berechtigung zur Verwendung des KMS-Schlüssels in Ihrem Namen erteilen. Eine Liste der erforderlichen Berechtigungen finden Sie unter Berechtigungen für IAM-Benutzer im EC2 Amazon-Benutzerhandbuch oder EC2 Amazon-Benutzerhandbuch.
Wichtig
Amazon EBS unterstützt nur symmetrische KMS-Schlüssel. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um ein Amazon-EBS-Volume zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Identifizieren Sie verschiedene Schlüsseltypen.
Für jedes Volume bittet Amazon EBS darum, einen eindeutigen Datenschlüssel AWS KMS zu generieren, der unter dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt ist. Amazon EBS speichert den verschlüsselten Datenschlüssel mit dem Volume. Wenn Sie dann das Volume an eine EC2 Amazon-Instance anhängen, ruft Amazon EBS auf, AWS KMS um den Datenschlüssel zu entschlüsseln. Amazon EBS verwendet den Klartext-Datenschlüssel im Hypervisor-Speicher, um den Disk-I/O zum Volume zu verschlüsseln. Einzelheiten finden Sie unter So funktioniert die EBS-Verschlüsselung im EC2 Amazon-Benutzerhandbuch oder EC2 Amazon-Benutzerhandbuch.
Amazon-EBS-Verschlüsselungskontext
In seinen GenerateDataKeyWithoutPlaintextund Decrypt-Anfragen an AWS KMS verwendet Amazon EBS einen Verschlüsselungskontext mit einem Name-Wert-Paar, das das Volume oder den Snapshot in der Anfrage identifiziert. Der Name im Verschlüsselungskontext variiert nicht.
Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Datenverschlüsselung aufnehmen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Für alle Volumes und für verschlüsselte Snapshots, die mit dem Amazon CreateSnapshotEBS-Vorgang erstellt wurden, verwendet Amazon EBS die Volume-ID als Verschlüsselungskontextwert. Im requestParameters-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }
Für verschlüsselte Snapshots, die mit dem EC2 CopySnapshotAmazon-Vorgang erstellt wurden, verwendet Amazon EBS die Snapshot-ID als Verschlüsselungskontextwert. Im requestParameters-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }
Erkennen von Amazon-EBS-Fehlern
Um ein verschlüsseltes EBS-Volume zu erstellen oder das Volume an eine EC2 Instance anzuhängen, müssen Amazon EBS und die EC2 Amazon-Infrastruktur in der Lage sein, den KMS-Schlüssel zu verwenden, den Sie für die EBS-Volume-Verschlüsselung angegeben haben. Wenn der KMS-Schlüssel nicht verwendbar ist, z. B. wenn sein Schlüsselstatus nicht Enabled ist, schlägt die Volume-Erstellung oder das Anfügen des Volumes fehl.
In diesem Fall sendet Amazon EBS ein Ereignis an Amazon EventBridge (früher CloudWatch Events), um Sie über den Fehler zu informieren. In EventBridge können Sie Regeln festlegen, die als Reaktion auf diese Ereignisse automatische Aktionen auslösen. Weitere Informationen finden Sie unter Amazon CloudWatch Events for Amazon EBS im EC2 Amazon-Benutzerhandbuch, insbesondere in den folgenden Abschnitten:
Um dieser Fehler zu beheben, vergewissern Sie sich, dass der KMS-Schlüssel, den Sie für die EBS-Volume-Verschlüsselung angegeben haben, aktiviert ist. Sehen Sie sich dazu zunächst den KMS-Schlüssel an, um seinen aktuellen Schlüsselstatus zu ermitteln (die Spalte Status in AWS Management Console). Sehen Sie sich dann die Informationen unter einem der folgenden Links an:
-
Wenn der Schlüsselstatus des KMS-Schlüssels deaktiviert ist, aktivieren Sie ihn.
-
Wenn der Schlüsselstatus des KMS-Schlüssels zeigt, dass der Import ausstehend ist, importieren Sie das Schlüsselmaterial.
-
Wenn der Schlüsselstatus des KMS-Schlüssels Löschung ausstehend ist, brechen Sie die Schlüssellöschung ab.
Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen
Sie können AWS CloudFormation
