Cómo utiliza Amazon Elastic Block Store (Amazon EBS) AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

En este tema se analiza en detalle cómo se AWS KMS utiliza Amazon Elastic Block Store (Amazon EBS) para cifrar volúmenes e instantáneas. Para obtener instrucciones básicas sobre el cifrado de volúmenes de Amazon EBS, consulte Cifrado de Amazon EBS.

Cifrado de Amazon EBS

Al adjuntar un volumen de Amazon EBS cifrado a un tipo de instancia de Amazon Elastic Compute Cloud (Amazon EC2) compatible, los datos almacenados en reposo en el volumen, las E/S del disco y las instantáneas creadas a partir del volumen se cifran. El cifrado se produce en los servidores que alojan EC2 las instancias de Amazon.

Esta característica es compatible con todos los tipos de volúmenes de Amazon EBS. Puede acceder a los volúmenes cifrados de la misma manera que accede a otros volúmenes; el cifrado y el descifrado se gestionan de forma transparente y no requieren ninguna acción adicional por parte suya, de la EC2 instancia o de la aplicación. Las instantáneas de los volúmenes cifrados se cifran automáticamente y los volúmenes que se crean a partir de las instantáneas cifradas también se cifran de forma automática.

El estado de cifrado de un volumen de EBS se determina al crear el volumen. No puede cambiar el estado de cifrado de un volumen existente. Sin embargo, puede migrar datos entre volúmenes cifrados y no cifrados, y aplicar un nuevo estado de cifrado al copiar una instantánea.

Amazon EBS admite el cifrado opcional de forma predeterminada. Puede activar el cifrado automáticamente en todos los volúmenes y copias instantáneas nuevos de EBS de su región y de su Cuenta de AWS región. Este ajuste de configuración no afecta a los volúmenes o instantáneas existentes. Para obtener más información, consulte el cifrado de Amazon EBS en la Guía del usuario de Amazon EBS.

Uso de claves KMS y claves de datos

Cuando crea un volumen Amazon EBS cifrado, se especifica un AWS KMS key. De manera predeterminada, Amazon EBS utiliza la Clave administrada de AWSpara Amazon EBS en su cuenta (aws/ebs). Sin embargo, puede especificar una clave administrada por el cliente que puede crear y administrar.

Para utilizar una clave administrada por el cliente, debe dar permiso a Amazon EBS para usar la clave KMS en su nombre. Para obtener una lista de los permisos necesarios, consulte Permisos para los usuarios de IAM en la Guía del EC2 usuario de Amazon o en la Guía EC2 del usuario de Amazon.

Para cada volumen, Amazon EBS solicita AWS KMS generar una clave de datos única cifrada con la clave de KMS que especifique. Amazon EBS almacena la clave de datos cifrada con el volumen. A continuación, al adjuntar el volumen a una EC2 instancia de Amazon, Amazon EBS llama AWS KMS para descifrar la clave de datos. Amazon EBS utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. Para obtener más información, consulte Cómo funciona el cifrado EBS en la Guía del EC2 usuario de Amazon o en la Guía EC2 del usuario de Amazon.

Contexto de cifrado de Amazon EBS

En sus solicitudes GenerateDataKeyWithoutPlaintexty en las de Decrypt AWS KMS, Amazon EBS utiliza un contexto de cifrado con un par nombre-valor que identifica el volumen o la instantánea de la solicitud. El nombre en el contexto de cifrado no varía.

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando incluye un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Para todos los volúmenes y para las instantáneas cifradas creadas con la CreateSnapshotoperación Amazon EBS, Amazon EBS utiliza el ID del volumen como valor de contexto de cifrado. En el campo requestParameters de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Para las instantáneas cifradas creadas con la EC2 CopySnapshotoperación de Amazon, Amazon EBS utiliza el ID de la instantánea como valor de contexto de cifrado. En el campo requestParameters de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Detección de errores de Amazon EBS

Para crear un volumen de EBS cifrado o adjuntar el volumen a una EC2 instancia, Amazon EBS y la EC2 infraestructura de Amazon deben poder usar la clave de KMS que especificó para el cifrado de volúmenes de EBS. Cuando la clave KMS no es utilizable, por ejemplo, cuando su estado clave no es Enabled: la creación del volumen o el adjunto al volumen fallan.

En este caso, Amazon EBS envía un evento a Amazon EventBridge (anteriormente CloudWatch Events) para notificarle el error. En EventBridge, puede establecer reglas que activen acciones automáticas en respuesta a estos eventos. Para obtener más información, consulte Amazon CloudWatch Events para Amazon EBS en la Guía del EC2 usuario de Amazon, especialmente en las siguientes secciones:

Para solucionar estos errores, compruebe que esté habilitada la clave KMS que ha especificado para el cifrado del volumen de EBS. Para ello, consulte primero la clave de KMS para determinar su estado de clave actual (la columna Estado de AWS Management Console). A continuación, consulte la información de uno estos enlaces:

Utilización AWS CloudFormation para crear volúmenes cifrados de Amazon EBS

Puede usar AWS CloudFormation para crear volúmenes de Amazon EBS cifrados. Para obtener más información, consulte AWS::EC2::Volume en la Guía del usuario de AWS CloudFormation .