Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cifrado de Amazon EBS
<a name="ebs-encryption"></a>

Utilice el cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de Amazon EBS asociados con sus instancias de Amazon EC2. Con el cifrado de Amazon EBS, no tendrá que crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS keys cuando crea volúmenes e instantáneas cifrados.

Las operaciones de cifrado se llevan a cabo en los servidores que alojan las instancias de EC2, lo que garantiza la seguridad tanto data-at-rest de una instancia como data-in-transit entre ella y su almacenamiento EBS adjunto.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente. Todos los tipos de instancias de Amazon EC2 admiten el cifrado de Amazon EBS.

**Topics**
+ [

# Cómo funciona el cifrado de Amazon EBS
](how-ebs-encryption-works.md)
+ [

# Requisitos para el cifrado de Amazon EBS
](ebs-encryption-requirements.md)
+ [

# Activar el cifrado de Amazon EBS de manera predeterminada
](encryption-by-default.md)
+ [

## Cifrar recursos de EBS
](#encryption-parameters)
+ [

# Rote AWS KMS las claves utilizadas para el cifrado de Amazon EBS
](kms-key-rotation.md)
+ [

# Ejemplos de cifrado de Amazon EBS
](encryption-examples.md)

# Cómo funciona el cifrado de Amazon EBS
<a name="how-ebs-encryption-works"></a>

Puede cifrar los volúmenes de datos y de arranque de una instancia EC2.

Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:
+ Datos en reposo dentro del volumen
+ Todos los datos que se mueven entre el volumen y la instancia
+ Todas las instantáneas creadas a partir del volumen
+ Todos los volúmenes creados a partir de esas instantáneas

Amazon EBS cifra el volumen con una [clave de datos](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) que utiliza el cifrado de datos estándar de la industria AES-256. La clave de datos se genera AWS KMS y, a continuación, se cifra AWS KMS con una AWS KMS clave antes de almacenarla con la información del volumen. Amazon EBS crea automáticamente un recurso único Clave administrada de AWS en cada región en la que cree los recursos de Amazon EBS. El [alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) de la clave de KMS es `aws/ebs`. De forma predeterminada, Amazon EBS utiliza esta Clave de KMS para el cifrado. También puede usar una clave de cifrado gestionada por el cliente simétrico que haya creado. Uso de su propia Clave de KMS le da más flexibilidad, incluida la capacidad de crear, rotar y desactivar Claves de KMS.

Amazon EC2 funciona AWS KMS para cifrar y descifrar los volúmenes de EBS de formas ligeramente diferentes en función de si la instantánea a partir de la cual se crea un volumen cifrado está cifrada o no cifrada.

## Funcionamiento del cifrado de EBS cuando se cifra la instantánea
<a name="how-ebs-encryption-works-encrypted-snapshot"></a>

Cuando crea un volumen cifrado a partir de una instantánea cifrada de su propiedad, Amazon EC2 lo utiliza AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

1. Amazon EC2 envía una [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitud a AWS KMS la que especifica la clave de KMS que ha elegido para el cifrado de volúmenes.

1. Si el volumen se cifra con la misma clave de KMS que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y la cifra con esa misma clave de KMS. Si el volumen se cifra con una clave de KMS diferente, AWS KMS genera una nueva clave de datos y la cifra con la clave de KMS que especificó. La clave de datos cifrada se envía a Amazon EBS para almacenarla con los metadatos del volumen.

1. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud para que AWS KMS pueda descifrar la clave de datos.

1. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.

1. Amazon EC2 utiliza la clave de datos de texto sin formato del hardware Nitro para cifrar el disco en el volumen. I/O La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

## Funcionamiento del cifrado de EBS cuando la instantánea no está cifrada
<a name="how-ebs-encryption-works-unencrypted-snapshot"></a>

Cuando crea un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

1. Amazon EC2 envía una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a AWS KMS, para que pueda cifrar el volumen que se crea a partir de la instantánea.

1. Amazon EC2 envía una [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitud a AWS KMS la que especifica la clave de KMS que ha elegido para el cifrado de volúmenes.

1. AWS KMS genera una nueva clave de datos, la cifra con la clave de KMS que haya elegido para el cifrado de volumen y envía la clave de datos cifrada a Amazon EBS para que la almacene con los metadatos del volumen.

1. Amazon EC2 envía una solicitud de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS a para descifrar la clave de datos cifrados, que luego utiliza para cifrar los datos del volumen.

1. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a AWS KMS, para que pueda descifrar la clave de datos.

1. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una solicitud de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS la que especifica la clave de datos cifrados.

1. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.

1. Amazon EC2 utiliza la clave de datos de texto sin formato del hardware Nitro para cifrar el disco en el volumen. I/O La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Para obtener más información, consulte [Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) y [Amazon EC2 ejemplo dos](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) en la *Guía para desarrolladores de AWS Key Management Service *.

## Cómo afectan las claves de KMS obsoletas a las claves de datos
<a name="unusable-keys"></a>

Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de clave de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en operaciones criptográficas fallan.

Cuando se realiza una acción que inutiliza la clave de KMS, no se produce ningún efecto inmediato en la instancia de EC2 ni en los volúmenes de EBS asociados. Amazon EC2 utiliza la clave de datos, no la clave KMS, para cifrar todo el disco I/O mientras el volumen esté conectado a la instancia.

Sin embargo, cuando el volumen de EBS cifrado se separa de la instancia de EC2, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen EBS cifrado se asocia a una instancia EC2, el accesorio devuelve un error, dado que Amazon EBS no puede utilizar la clave de KMS para descifrar la clave de datos cifrada del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.

**sugerencia**  
Si ya no desea acceder a los datos almacenados en un volumen de EBS cifrado con una clave de datos generada a partir de una clave de KMS que pretende inutilizar, le recomendamos que separe el volumen de EBS de la instancia de EC2 antes de inutilizar la clave de KMS.

Para obtener más información, consulte [Cómo afectan las claves de KMS inutilizables a las claves de datos](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) en la *Guía para desarrolladores de AWS Key Management Service *.

# Requisitos para el cifrado de Amazon EBS
<a name="ebs-encryption-requirements"></a>

Antes de comenzar, compruebe que se cumplen los siguientes requisitos.

**Topics**
+ [

## Tipos de volumen admitidos
](#ebs-encryption-volume-types)
+ [

## Tipos de instancias admitidas
](#ebs-encryption_supported_instances)
+ [

## Permisos para los usuarios
](#ebs-encryption-permissions)
+ [

## Permisos para instancias
](#ebs-encryption-instance-permissions)

## Tipos de volumen admitidos
<a name="ebs-encryption-volume-types"></a>

El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.

## Tipos de instancias admitidas
<a name="ebs-encryption_supported_instances"></a>

El cifrado de Amazon EBS está disponible en todos los tipos de instancias de la [generación actual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) y la [generación anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).

## Permisos para los usuarios
<a name="ebs-encryption-permissions"></a>

Cuando utiliza una clave de KMS para el cifrado de EBS, la política de claves de KMS permite a cualquier usuario con acceso a las AWS KMS acciones necesarias utilizar esta clave de KMS para cifrar o descifrar los recursos de EBS. Debe conceder a los usuarios permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`

**sugerencia**  
Para seguir el principio de privilegios mínimos, no permita el acceso completo a `kms:CreateGrant`. En su lugar, utilice la clave de `kms:GrantIsForAWSResource` condición para permitir al usuario crear concesiones en la clave de KMS solo cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

Para obtener más información, consulte [Permitir el acceso a la AWS cuenta y habilitar las políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) en la sección **Política clave predeterminada** de la *Guía para AWS Key Management Service desarrolladores*.

## Permisos para instancias
<a name="ebs-encryption-instance-permissions"></a>

Cuando una instancia intenta interactuar con una AMI, un volumen o una instantánea cifrados, se concede una clave de KMS al rol de solo identidad de la instancia. La función exclusiva de identidad es una función de IAM que la instancia utiliza para interactuar en su nombre con volúmenes AMIs, instantáneas o cifrados. 

Los roles de solo identidad no necesitan crearse ni eliminarse de forma manual, y no tienen políticas asociadas. Además, no puede acceder a las credenciales del rol de solo identidad.

**nota**  
Las aplicaciones de la instancia no utilizan los roles exclusivos de identidad para acceder a otros recursos AWS KMS cifrados, como los objetos de Amazon S3 o las tablas de Dynamo DB. Estas operaciones se realizan con las credenciales de un rol de instancia de Amazon EC2 u otras AWS credenciales que haya configurado en la instancia.

Los roles exclusivos de identidad están sujetos a las políticas de [control de servicios (SCPs) y a las políticas](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) clave de [KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Si una clave SCP o KMS deniega el acceso del rol exclusivo de identidad a una clave de KMS, es posible que no pueda lanzar las instancias de EC2 con volúmenes cifrados o mediante instantáneas o cifradas. AMIs 

Si va a crear una política de SCP o de claves que deniegue el acceso en función de la ubicación de la red mediante las claves de condición`aws:SourceIp`, `aws:VpcSourceIp``aws:SourceVpc`, o `aws:SourceVpce` AWS globales, debe asegurarse de que estas declaraciones de política no se apliquen a los roles que solo utilizan instancias. Para ver ejemplos de políticas, consulte [Ejemplos de políticas de perímetros de datos](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).

Los roles de identidad exclusiva utilizan el siguiente formato: ARNs 

```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```

Cuando se emite una concesión de clave para una instancia, la concesión de clave se emite para la sesión específica del rol asumido de esa instancia. El ARN de la entidad principal del beneficiario utiliza el siguiente formato:

```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```

# Activar el cifrado de Amazon EBS de manera predeterminada
<a name="encryption-by-default"></a>

Puede configurar su AWS cuenta para aplicar el cifrado de los nuevos volúmenes y copias instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte [Cifrar recursos no cifrados](ebs-encryption.md#encrypt-unencrypted).

El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.

**Consideraciones**
+ El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.
+ El cifrado de Amazon EBS es admitido por defecto en todos los tipos de instancias de la [generación actual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) y la [generación anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
+ Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.

------
#### [ Console ]

**Para habilitar el cifrado de manera predeterminada en una región**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la barra de navegación, seleccione la región.

1. En el panel de navegación, seleccione **EC2 Dashboard (Panel de EC2)**.

1. En la esquina superior derecha de la página, elija **Account attributes (Atributos de cuenta)**, **Data protection and security (Protección de datos y seguridad)**.

1. En la sección **Cifrado de EBS**, elija **Gestionar**.

1. Seleccione **Habilitar**. La conserva Clave administrada de AWS con el alias `aws/ebs` creado en su nombre como clave de cifrado predeterminada o elige una clave de cifrado simétrica gestionada por el cliente.

1. Elija **Update EBS encryption (Actualizar el cifrado de EBS)**.

------
#### [ AWS CLI ]

**Para ver la configuración predeterminada de cifrado**

Utilice el comando [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html).
+ Para una región específica

  ```
  aws ec2 get-ebs-encryption-by-default --region region
  ```
+ Para todas las regiones de su cuenta

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
  do
      default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

**Para habilitar el cifrado de manera predeterminada**

Utilice el comando [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Para una región específica

  ```
  aws ec2 enable-ebs-encryption-by-default --region region
  ```
+ Para todas las regiones de su cuenta

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

**Para deshabilitar el cifrado de manera predeterminada**

Utilice el comando [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Para una región específica

  ```
  aws ec2 disable-ebs-encryption-by-default --region region
  ```
+ Para todas las regiones de su cuenta

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

------
#### [ PowerShell ]

**Para ver la configuración predeterminada de cifrado**

Utilice el cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html).
+ Para una región específica

  ```
  Get-EC2EbsEncryptionByDefault -Region region
  ```
+ Para todas las regiones de su cuenta

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object {
      [PSCustomObject]@{ 
          Region                    = $_
          EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

**Para habilitar el cifrado de manera predeterminada**

Utilice el cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html).
+ Para una región específica

  ```
  Enable-EC2EbsEncryptionByDefault -Region region
  ```
+ Para todas las regiones de su cuenta

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_
          EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

**Para deshabilitar el cifrado de manera predeterminada**

Utilice el cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html).
+ Para una región específica

  ```
  Disable-EC2EbsEncryptionByDefault -Region region
  ```
+ Para todas las regiones de su cuenta

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_
          EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

------

No puede cambiar la clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

## Cifrar recursos de EBS
<a name="encryption-parameters"></a>

Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el [cifrado de forma predeterminada](encryption-by-default.md) o habilitando el cifrado al crear un volumen que desea cifrar.

Cuando cifra un volumen, puede especificar la clave de cifrado de KMS simétrica que se utilizará para cifrar el volumen. Si no especifica una Clave de KMS, la Clave de KMS que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la [tabla de resultados de cifrado](encryption-examples.md#ebs-volume-encryption-outcomes).

**nota**  
Si utiliza la API o AWS CLI para especificar una clave de KMS, tenga en cuenta que AWS autentica la clave de KMS de forma asíncrona. Si especifica un ID de Clave de KMS, un alias o un ARN que no es válido, puede parecer que la acción se ha completado, pero eventualmente falla.

No puede cambiar la Clave de KMS que está asociada a una instantánea o volumen existente. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

### Cifrar un volumen vacío al crearlo
<a name="new-encrypted-volumes"></a>

Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente con la Clave de KMS predeterminada para el cifrado de EBS. Como alternativa, puede especificar una clave de cifrado de KMS simétrica diferente para la operación de creación de volumen específica. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte [Creación de un volumen de Amazon EBS.](ebs-creating-volume.md).

De forma predeterminada, la Clave de KMS que seleccionó al crear un volumen cifra las instantáneas que realice a partir del volumen y los volúmenes que se restauran a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte [Compartir una instantánea de Amazon EBS con otras cuentas AWS](ebs-modifying-snapshot-permissions.md).

### Cifrar recursos no cifrados
<a name="encrypt-unencrypted"></a>

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes.

Para cifrar un volumen no cifrado, cree una instantánea de ese volumen y, a continuación, utilícela para crear un volumen cifrado nuevo. Para obtener más información, consulte [Crear instantáneas de ](ebs-create-snapshot.md) y [Cree un volumen](ebs-creating-volume.md).

Para cifrar una instantánea no cifrada, cree una copia cifrada de esa instantánea. Para obtener más información, consulte [Copiar una instantánea de ](ebs-copy-snapshot.md).

Si habilita el cifrado de su cuenta de forma predeterminada, los volúmenes y las copias instantáneas creados a partir de instantáneas no cifradas siempre se cifrarán. De lo contrario, debe especificar los parámetros de cifrado en la solicitud. Para obtener más información, consulte [Habilitación del cifrado de manera predeterminada](encryption-by-default.md).

# Rote AWS KMS las claves utilizadas para el cifrado de Amazon EBS
<a name="kms-key-rotation"></a>

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado.

Para crear nuevo material de cifrado y usarlo con el cifrado de Amazon EBS, puede crear nuevas claves gestionadas de cliente y, a continuación, cambiar sus aplicaciones para que utilicen dichas claves. También puede habilitar la rotación automática de claves para una clave gestionada por el cliente existente.

Cuando habilita la rotación automática de claves para una clave administrada por el cliente, AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda seguir descifrando y utilizando volúmenes e instantáneas previamente cifrados con ese material de clave de KMS. AWS KMS no elimina ningún material de clave girada hasta que elimine la clave KMS.

Cuando utiliza una clave girada gestionada por el cliente para cifrar un volumen o una instantánea nuevos, AWS KMS utiliza el material de clave actual (nuevo). Cuando utiliza una clave gestionada de cliente rotada para descifrar un volumen o instantánea, AWS KMS utiliza la misma versión del material de cifrado que ha usado para cifrarlo. Si un volumen o una instantánea están cifrados con una versión anterior del material criptográfico, AWS KMS seguirá utilizando esa versión anterior para descifrarlos. AWS KMS no vuelve a cifrar los volúmenes o instantáneas previamente cifrados para utilizar el nuevo material criptográfico tras una rotación de claves. Permanecen cifrados con el material de cifrado con el que se cifraron originalmente. Puede utilizar de forma segura una clave girada gestionada por el cliente en aplicaciones y AWS servicios sin necesidad de cambiar el código.

**nota**  
La rotación automática de claves solo se admite en el caso de claves simétricas administradas por el cliente con material clave que se AWS KMS crea.
AWS KMS rota automáticamente Claves administradas por AWS cada año. No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

Para obtener más información, consulte [Rotación de clave de KMS](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) en la *Guía para desarrolladores de AWS Key Management Service *.

# Ejemplos de cifrado de Amazon EBS
<a name="encryption-examples"></a>

Cuando se crea un recurso de EBS cifrado, se cifra por la Clave de KMS predeterminada de su cuenta para el cifrado de EBS, a menos que especifique una Clave gestionada por el cliente diferente en los parámetros de creación de volúmenes o en la asignación de dispositivos de bloque para la AMI o la instancia.

Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la [tabla de resultados de cifrado](#ebs-volume-encryption-outcomes).

**Topics**
+ [

## Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
](#volume-account-off)
+ [

## Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
](#volume-account-on)
+ [

## Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
](#snapshot-account-off)
+ [

## Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
](#snapshot-account-on)
+ [

## Nuevo cifrado de un volumen cifrado
](#reencrypt-volume)
+ [

## Nuevo cifrado de una instantánea cifrada
](#reencrypt-snapshot)
+ [

## Migrar datos entre volúmenes cifrados y no cifrados
](#migrate-data-encrypted-unencrypted)
+ [

## Resultados del cifrado
](#ebs-volume-encryption-outcomes)

## Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
<a name="volume-account-off"></a>

Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen resultante al configurar el parámetro `Encrypted` y, de manera opcional, el parámetro `KmsKeyId`. En el diagrama siguiente se ilustra el proceso.

![\[Al crear un volumen a partir de una instantánea no cifrada, especifique una clave de KMS para crear un volumen cifrado.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/volume-encrypt-account-off.png)


Si omite el parámetro `KmsKeyId`, el volumen resultante se cifra con la Clave de KMS predeterminada para el cifrado de EBS. Debe especificar un ID de Clave de KMS para cifrar el volumen en una Clave de KMS diferente.

Para obtener más información, consulte [Creación de un volumen de Amazon EBS.](ebs-creating-volume.md).

## Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
<a name="volume-account-on"></a>

Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio en los volúmenes restaurados a partir de instantáneas no cifradas y no se requieren parámetros de cifrado para que se utilice la Clave de KMS predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:

![\[Cuando crea un volumen a partir de una instantánea no cifrada pero el cifrado está habilitado de forma predeterminada, utilizamos la clave de KMS predeterminada para crear un volumen cifrado.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/volume-encrypt-account-on.png)


Si desea cifrar el volumen restaurado con una clave de cifrado gestionada por el cliente simétrica, debe proporcionar los parámetros `KmsKeyId` y `Encrypted` tal y como se muestra en [Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)](#volume-account-off).

## Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
<a name="snapshot-account-off"></a>

Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea resultante al configurar el parámetro `Encrypted` y, de manera opcional, el parámetro `KmsKeyId`. Si omite `KmsKeyId`, la instantánea resultante se cifra mediante la Clave de KMS predeterminada. Debe especificar un ID de clave de KMS para cifrar el volumen en una clave de cifrado de KMS simétrica diferente.

En el diagrama siguiente se ilustra el proceso.

![\[Cree una instantánea cifrada a partir de una instantánea sin cifrar.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)


Puede cifrar un volumen de EBS copiando una instantánea inesperada en una instantánea cifrada y luego creando un volumen a partir de la instantánea cifrada. Para obtener más información, consulte [Copia de una instantánea de Amazon EBS](ebs-copy-snapshot.md).

## Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
<a name="snapshot-account-on"></a>

Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio para las copias de instantáneas no cifradas y no se requieren parámetros de cifrado si se utiliza la Clave de KMS predeterminada. En el siguiente diagrama se ilustra caso predeterminado:

![\[Cree una instantánea cifrada a partir de una instantánea sin cifrar.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)


## Nuevo cifrado de un volumen cifrado
<a name="reencrypt-volume"></a>

Cuando la acción `CreateVolume` funciona en una instantánea cifrada, tiene la opción de volver a cifrarla con otra Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la creación del volumen, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se descifran automáticamente y, a continuación, se vuelven a cifrar mediante la Clave de KMS B.

![\[Copie una instantánea cifrada y cifre la copia en una nueva Clave de KMS.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/volume-reencrypt.png)


Para obtener más información, consulte [Creación de un volumen de Amazon EBS.](ebs-creating-volume.md).

## Nuevo cifrado de una instantánea cifrada
<a name="reencrypt-snapshot"></a>

La capacidad de cifrar una instantánea durante la copia permite aplicar una nueva clave de cifrado de KMS simétrica a una instantánea ya cifrada de su propiedad. Solo se puede acceder a los volúmenes restaurados a partir de la copia resultante mediante la nueva Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la copia, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se vuelven a cifrar automáticamente mediante la Clave de KMS B.

![\[Copie una instantánea cifrada y cifre la copia en una nueva Clave de KMS.\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/images/snap-reencrypt.png)


En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De forma predeterminada, la copia se cifra con una Clave de KMS compartida por el propietario de la instantánea. Sin embargo, se recomienda crear una copia de la instantánea compartida mediante el uso de una Clave de KMS diferente que usted controla. Esto protege el acceso al volumen si la Clave de KMS original está comprometida o si el propietario revoca la Clave de KMS por cualquier motivo. Para obtener más información, consulte [Cifrado y copia de la instantánea](ebs-copy-snapshot.md#creating-encrypted-snapshots).

## Migrar datos entre volúmenes cifrados y no cifrados
<a name="migrate-data-encrypted-unencrypted"></a>

Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2 lleva a cabo las operaciones de cifrado y descifrado con transparencia.

### Instancias de Linux
<a name="migrate-data-encrypted-unencrypted-lin"></a>

Por ejemplo, use el comando **rsync** para copiar los datos. En el siguiente comando, los datos de origen se encuentran en `/mnt/source` y el volumen de destino está montado en `/mnt/destination`.

```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```

### instancias de Windows
<a name="migrate-data-encrypted-unencrypted-win"></a>

Por ejemplo, use el comando **robocopy** para copiar los datos. En el siguiente comando, los datos de origen se encuentran en `D:\` y el volumen de destino está montado en `E:\`.

```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```

Recomendamos utilizar carpetas en lugar de copiar todo el volumen, con esto se evitan posibles problemas con carpetas ocultas.

## Resultados del cifrado
<a name="ebs-volume-encryption-outcomes"></a>



En la siguiente tabla, se describe el resultado de cifrado para cada combinación posible de configuraciones.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ebs/latest/userguide/encryption-examples.html)

\$1 Esta es la clave predeterminada administrada por el cliente que se utiliza para el cifrado de EBS de la AWS cuenta y la región. De forma predeterminada, es única Clave administrada de AWS para EBS, o puede especificar una clave gestionada por el cliente.

\$1\$1 Esta es una clave gestionada por el cliente especificada para el volumen en el momento del lanzamiento. Se utiliza esta clave gestionada por el cliente en lugar de la clave gestionada por el cliente predeterminada para la AWS cuenta y la región.