EBSCifrado de Amazon - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

EBSCifrado de Amazon

Utilice el EBS cifrado de Amazon como una solución de cifrado sencilla para EBS los recursos de Amazon asociados a sus instancias de AmazonEC2. Con el EBS cifrado de Amazon, no es necesario que cree, mantenga y proteja su propia infraestructura de administración de claves. EBSEl cifrado de Amazon AWS KMS keys se utiliza al crear volúmenes e instantáneas cifrados.

Las operaciones de cifrado se llevan a cabo en los servidores que alojan EC2 las instancias, lo que garantiza la seguridad de una instancia data-at-rest y su almacenamiento adjunto, así como data-in-transit entre una instancia y su EBS almacenamiento adjunto.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente. Todos los tipos de EC2 instancias de Amazon admiten el EBS cifrado de Amazon.

Cifre los recursos EBS

EBSLos volúmenes se cifran activando el cifrado, ya sea mediante el cifrado de forma predeterminada o activándolo al crear un volumen que se desee cifrar.

Al cifrar un volumen, puede especificar la KMS clave de cifrado simétrica que se utilizará para cifrar el volumen. Si no especifica una KMS clave, la KMS clave que se utilice para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

nota

Si utiliza la API o AWS CLI para especificar una KMS clave, tenga en cuenta que AWS autentica la KMS clave de forma asíncrona. Si especificas un identificador de KMS clave, un alias o un identificador que no es válido, puede parecer ARN que la acción se ha completado, pero al final se produce un error.

No puede cambiar la KMS clave que está asociada a una instantánea o un volumen existente. Sin embargo, puede asociar una KMS clave diferente durante una operación de copia de una instantánea para que la instantánea copiada resultante se cifre con la nueva KMS clave.

Cifrar un volumen vacío al crearlo

Al crear un EBS volumen nuevo y vacío, puede cifrarlo activando el cifrado para la operación de creación del volumen específico. Si ha activado el EBS cifrado de forma predeterminada, el volumen se cifra automáticamente con la KMS clave de EBS cifrado predeterminada. Como alternativa, puede especificar una KMS clave de cifrado simétrica diferente para la operación específica de creación del volumen. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte Crea un EBS volumen de Amazon.

De forma predeterminada, la KMS clave que seleccionó al crear un volumen cifra las instantáneas que cree a partir del volumen y los volúmenes que restaure a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Comparte una EBS instantánea de Amazon con otras AWS cuentas.

Cifrar recursos no cifrados

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si habilitas el cifrado de forma predeterminada, Amazon cifra EBS automáticamente los nuevos volúmenes e instantáneas con tu KMS clave de cifrado predeterminada. EBS De lo contrario, puede habilitar el cifrado al crear un volumen o una instantánea individual, utilizando la KMS clave predeterminada para el cifrado de Amazon o una clave de EBS cifrado simétrica gestionada por el cliente. Para obtener más información, consulte Crea un EBS volumen de Amazon y Copiar una EBS instantánea de Amazon.

Para cifrar la copia instantánea en una clave gestionada por el cliente, debe habilitar el cifrado y especificar la KMS clave, tal y como se muestra en la siguiente. Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)

importante

Amazon EBS no admite KMS claves de cifrado asimétricas. Para obtener más información, consulte Uso de KMS claves de cifrado simétricas y asimétricas en la AWS Key Management Service Guía para desarrolladores.

También puedes aplicar nuevos estados de cifrado al lanzar una instancia desde una EBS instancia con respaldo. AMI Esto se debe a que las EBS copias respaldadas por el código «-back» AMIs incluyen instantáneas de EBS volúmenes que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con EBS respaldo. AMIs