Cifrado de Amazon EBS

Utilice el cifrado de Amazon EBS como una solución de cifrado sencilla para los recursos de Amazon EBS asociados a sus instancias de Amazon. EC2 Con el cifrado de Amazon EBS, no tendrá que crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS keys cuando crea volúmenes e instantáneas cifrados.

Las operaciones de cifrado se llevan a cabo en los servidores que alojan EC2 las instancias, lo que garantiza la seguridad de una instancia data-at-rest y su almacenamiento de EBS adjunto y data-in-transit entre ellas.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente. Todos los tipos de EC2 instancias de Amazon admiten el cifrado de Amazon EBS.

Contenido

Cifrar recursos de EBS

Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.

Cuando cifra un volumen, puede especificar la clave de cifrado de KMS simétrica que se utilizará para cifrar el volumen. Si no especifica una Clave de KMS, la Clave de KMS que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

nota

Si utiliza la API o AWS CLI especifica una clave de KMS, tenga en cuenta que AWS autentica la clave de KMS de forma asíncrona. Si especifica un ID de Clave de KMS, un alias o un ARN que no es válido, puede parecer que la acción se ha completado, pero eventualmente falla.

No puede cambiar la Clave de KMS que está asociada a una instantánea o volumen existente. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

Cifrar un volumen vacío al crearlo

Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente con la Clave de KMS predeterminada para el cifrado de EBS. Como alternativa, puede especificar una clave de cifrado de KMS simétrica diferente para la operación de creación de volumen específica. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte Creación de un volumen de Amazon EBS..

De forma predeterminada, la Clave de KMS que seleccionó al crear un volumen cifra las instantáneas que realice a partir del volumen y los volúmenes que se restauran a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Compartir una instantánea de Amazon EBS con otras cuentas AWS.

Cifrar recursos no cifrados

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra volúmenes o instantáneas nuevos mediante la clave de KMS predeterminada para el cifrado de EBS. En caso contrario, puede habilitar el cifrado cuando cree un volumen o una instantánea individuales, mediante la clave de KMS predeterminada para el cifrado de Amazon EBS o una clave de cifrado gestionada por el cliente simétrica. Para obtener más información, consulte Creación de un volumen de Amazon EBS. y Copia de una instantánea de Amazon EBS.

Para cifrar la copia instantánea en una Clave gestionada por el cliente, debe habilitar el cifrado y especificar la Clave de KMS, como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).

importante

Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service .

También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que los respaldados por EBS AMIs incluyen instantáneas de los volúmenes de EBS que se pueden cifrar como se describe. Para obtener más información, consulte Usar el cifrado respaldado por EBS. AMIs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Instantáneas locales en Zonas Locales Dedicadas

Cómo funciona el cifrado de EBS