Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos para el EBS cifrado de Amazon

Antes de comenzar, compruebe que se cumplen los siguientes requisitos.

Tipos de volumen admitidos

El cifrado es compatible con todos los tipos de EBS volúmenes. Puede esperar el mismo IOPS rendimiento en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.

Tipos de instancias admitidas

El EBS cifrado de Amazon está disponible en todos los tipos de instancias de la generación actual y anterior.

Permisos para los usuarios

Cuando se utiliza una KMS clave para el EBS cifrado, la política de KMS claves permite a cualquier usuario con acceso a las AWS KMS acciones necesarias utilizar esta KMS clave para cifrar o descifrar los recursos. EBS Debe conceder a los usuarios permiso para realizar las siguientes acciones para poder utilizar EBS el cifrado:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Para obtener más información, consulte Permite el acceso a la AWS cuenta y habilita IAM las políticas en la sección Política clave predeterminada de la Guía para AWS Key Management Service desarrolladores.

Permisos para instancias

Cuando una instancia intenta interactuar con un volumenAMI, una instantánea o un volumen cifrado, se concede una KMS clave a la función exclusiva de identidad de la instancia. La función de solo identidad es una IAM función que la instancia utiliza para interactuar con volúmenesAMIs, instantáneas o cifrados en tu nombre.

Los roles de solo identidad no necesitan crearse ni eliminarse de forma manual, y no tienen políticas asociadas. Además, no puede acceder a las credenciales del rol de solo identidad.

Los roles exclusivos de identidad están sujetos a las políticas de control de servicios (SCPs) y a las políticas KMSclave. Si una KMS clave SCP o deniega el acceso a una KMS clave al rol exclusivo de identidad, es posible que no pueda lanzar EC2 instancias con volúmenes cifrados o mediante copias cifradas o instantáneas. AMIs

Si va a crear una SCP política clave que deniegue el acceso en función de la ubicación de la red mediante las claves de condición aws:SourceIp aws:VpcSourceIpaws:SourceVpc,, o aws:SourceVpce AWS globales, debe asegurarse de que estas declaraciones de política no se apliquen a los roles que solo utilizan instancias. Para ver ejemplos de políticas, consulte Ejemplos de políticas de perímetros de datos.

Los roles ARNs de solo identidad utilizan el siguiente formato:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Cuando se emite una concesión de clave para una instancia, la concesión de clave se emite para la sesión específica del rol asumido de esa instancia. El director del concesionario ARN utiliza el siguiente formato:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id