Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos para el EBS cifrado de Amazon
Antes de comenzar, compruebe que se cumplen los siguientes requisitos.
Requisitos
Tipos de volumen admitidos
El cifrado es compatible con todos los tipos de EBS volúmenes. Puede esperar el mismo IOPS rendimiento en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.
Tipos de instancias admitidas
El EBS cifrado de Amazon está disponible en todos los tipos de instancias de la generación actual y de la generación anterior.
Permisos para los usuarios
Cuando se utiliza una KMS clave para el EBS cifrado, la política de KMS claves permite a cualquier usuario con acceso a las AWS KMS acciones necesarias utilizar esta KMS clave para cifrar o descifrar los recursos. EBS Debe conceder a los usuarios permiso para realizar las siguientes acciones para poder utilizar EBS el cifrado:
-
kms:CreateGrant
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKeyWithoutPlainText
-
kms:ReEncrypt
sugerencia
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant
. En su lugar, utilice la clave kms:GrantIsForAWSResource
condicionada para permitir al usuario crear concesiones en la KMS clave solo cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener más información, consulte Permite el acceso a la AWS cuenta y habilita IAM las políticas en la sección Política clave predeterminada de la Guía para AWS Key Management Service desarrolladores.
Permisos para instancias
Cuando una instancia intenta interactuar con un volumenAMI, una instantánea o un volumen cifrado, se concede una KMS clave a la función exclusiva de identidad de la instancia. La función de solo identidad es una IAM función que la instancia utiliza para interactuar con volúmenesAMIs, instantáneas o cifrados en tu nombre.
Los roles de solo identidad no necesitan crearse ni eliminarse de forma manual, y no tienen políticas asociadas. Además, no puede acceder a las credenciales del rol de solo identidad.
nota
Las aplicaciones de la instancia no utilizan los roles exclusivos de identidad para acceder a otros recursos AWS KMS cifrados, como los objetos de Amazon S3 o las tablas de Dynamo DB. Estas operaciones se realizan con las credenciales de un rol de EC2 instancia de Amazon u otras AWS credenciales que hayas configurado en tu instancia.
Los roles exclusivos de identidad están sujetos a las políticas de control de servicios (SCPs) y a las políticas KMSclave. Si una KMS clave SCP o deniega el acceso a una KMS clave al rol exclusivo de identidad, es posible que no pueda lanzar EC2 instancias con volúmenes cifrados o mediante copias cifradas o instantáneas. AMIs
Si va a crear una SCP política clave que deniegue el acceso en función de la ubicación de la red mediante las claves de condición aws:SourceIp
aws:VpcSourceIp
aws:SourceVpc
,, o aws:SourceVpce
AWS globales, debe asegurarse de que estas declaraciones de política no se apliquen a los roles que solo utilizan instancias. Para ver ejemplos de políticas, consulte Ejemplos de políticas de perímetros de datos
Los roles ARNs de solo identidad utilizan el siguiente formato:
arn:
aws-partition
:iam::account_id
:role/aws:ec2-infrastructure/instance_id
Cuando se emite una concesión de clave para una instancia, la concesión de clave se emite para la sesión específica del rol asumido de esa instancia. El director del concesionario ARN utiliza el siguiente formato:
arn:
aws-partition
:sts::account_id
:assumed-role/aws:ec2-infrastructure/instance_id