Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funciona el cifrado de Amazon EBS
Puede cifrar los volúmenes de arranque y de datos de una EC2 instancia.
Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:
-
Datos en reposo dentro del volumen
-
Todos los datos que se mueven entre el volumen y la instancia
-
Todas las instantáneas creadas a partir del volumen
-
Todos los volúmenes creados a partir de esas instantáneas
Amazon EBS cifra el volumen con una clave de datos que utiliza el cifrado de datos estándar de la industria AES-256. La clave de datos se genera AWS KMS y, a continuación, se cifra AWS KMS con una AWS KMS clave antes de almacenarla con la información del volumen. Amazon EBS crea automáticamente un recurso único Clave administrada de AWS en cada región en la que cree los recursos de Amazon EBS. El alias de la clave de KMS es aws/ebs. De forma predeterminada, Amazon EBS utiliza esta Clave de KMS para el cifrado. También puede usar una clave de cifrado gestionada por el cliente simétrico que haya creado. Uso de su propia Clave de KMS le da más flexibilidad, incluida la capacidad de crear, rotar y desactivar Claves de KMS.
Amazon EC2 trabaja con AWS KMS el cifrado y el descifrado de los volúmenes de EBS de formas ligeramente diferentes en función de si la instantánea a partir de la cual se crea un volumen cifrado está cifrada o no cifrada.
Funcionamiento del cifrado de EBS cuando se cifra la instantánea
Cuando crea un volumen cifrado a partir de una instantánea cifrada de su propiedad, Amazon EC2 trabaja con ellos AWS KMS para cifrar y descifrar sus volúmenes de EBS de la siguiente manera:
-
Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS, especificando la clave de KMS que has elegido para el cifrado por volumen.
-
Si el volumen se cifra con la misma clave de KMS que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y la cifra con esa misma clave de KMS. Si el volumen se cifra con una clave de KMS diferente, AWS KMS genera una nueva clave de datos y la cifra con la clave de KMS que especificó. La clave de datos cifrada se envía a Amazon EBS para almacenarla con los metadatos del volumen.
-
Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud para que AWS KMS pueda descifrar la clave de datos.
-
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon. EC2
-
Amazon EC2 utiliza la clave de datos de texto simple del hardware Nitro para cifrar las E/S del disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.
Funcionamiento del cifrado de EBS cuando la instantánea no está cifrada
Al crear un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con él AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:
-
Amazon EC2 envía una CreateGrantsolicitud a AWS KMS, para que pueda cifrar el volumen que se crea a partir de la instantánea.
-
Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS, especificando la clave de KMS que has elegido para el cifrado por volumen.
-
AWS KMS genera una nueva clave de datos, la cifra con la clave de KMS que haya elegido para el cifrado de volumen y envía la clave de datos cifrada a Amazon EBS para que la almacene con los metadatos del volumen.
-
Amazon EC2 envía una solicitud de descifrado AWS KMS a para descifrar la clave de datos cifrados, que luego utiliza para cifrar los datos del volumen.
-
Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud a para AWS KMS que pueda descifrar la clave de datos.
-
Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una solicitud de descifrado a AWS KMS la que especifica la clave de datos cifrados.
-
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon. EC2
-
Amazon EC2 utiliza la clave de datos de texto simple del hardware Nitro para cifrar las E/S del disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.
Para obtener más información, consulta Cómo utiliza Amazon Elastic Block Store (Amazon EBS) AWS KMS y el segundo ejemplo de EC2 Amazon en AWS Key Management Service la Guía para desarrolladores.
Cómo afectan las claves de KMS obsoletas a las claves de datos
Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de clave de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en operaciones criptográficas fallan.
Cuando realizas una acción que inutiliza la clave KMS, no se produce ningún efecto inmediato en la EC2 instancia ni en los volúmenes de EBS adjuntos. Amazon EC2 usa la clave de datos, no la clave KMS, para cifrar todas las E/S del disco mientras el volumen está conectado a la instancia.
Sin embargo, cuando el volumen de EBS cifrado se separa de la EC2 instancia, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen de EBS cifrado se adjunte a una EC2 instancia, se producirá un error en el adjunto, ya que Amazon EBS no podrá utilizar la clave de KMS para descifrar la clave de datos cifrados del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.
sugerencia
Si ya no desea acceder a los datos almacenados en un volumen de EBS cifrado con una clave de datos generada a partir de una clave de KMS que pretende inutilizar, le recomendamos que separe el volumen de EBS de la EC2 instancia antes de inutilizar la clave de KMS.
Para obtener más información, consulte Cómo afectan las claves de KMS inutilizables a las claves de datos en la Guía para desarrolladores de AWS Key Management Service .
