Utiliser le chiffrement avec des AMI basées sur EBS - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser le chiffrement avec des AMI basées sur EBS

Les AMI basées sur des instantanés Amazon EBS peuvent tirer parti du chiffrement Amazon EBS. Les instantanés de volumes de données et racine peuvent être chiffrés et attachés à une AMI. Vous pouvez lancer des instances et copier des images avec une prise en charge complète du chiffrement EBS. Les paramètres de chiffrement pour ces opérations sont pris en charge dans toutes les régions où ils AWS KMS sont disponibles.

Les instances EC2 avec des volumes EBS chiffrés sont lancées à partir des AMIs de la même manière que les autres instances. De plus, lorsque vous lancez une instance à partir d’une AMI basée sur des instantanés EBS non chiffrés, vous pouvez chiffrer une partie ou l’ensemble des volumes pendant le lancement.

À l'instar des volumes EBS, les instantanés des AMI peuvent être chiffrés soit par défaut AWS KMS key, soit avec une clé gérée par le client que vous spécifiez. Dans tous les cas, vous devez être autorisé à utiliser la clé KMS sélectionnée.

Les AMI contenant des instantanés chiffrés peuvent être partagées entre les AWS comptes. Pour plus d’informations, consultez Comprendre AMI l'utilisation partagée sur Amazon EC2.

Rubriques relatives au chiffrement avec des AMI basées sur EBS

Scénarios de lancement d’instances

Les instances Amazon EC2 sont lancées à partir d'AMI à l'aide de l'RunInstancesaction avec des paramètres fournis par le biais du mappage de périphériques en mode bloc, soit au moyen de l'API ou de la CLI Amazon EC2, soit directement à l'aide de l'API AWS Management Console ou de la CLI Amazon EC2. Pour plus d’informations, consultez Bloquer les mappages d'appareils pour les volumes sur les instances Amazon EC2. Pour des exemples de contrôle du mappage des périphériques en mode bloc à partir du AWS CLI, voir Lancer, répertorier et résilier des instances EC2.

Par défaut, sans paramètres de chiffrement explicites, une action RunInstances conserve l’état de chiffrement existant des instantanés source d’une AMI lors de la restauration des volumes EBS à partir de ceux-ci. Si le chiffrement est activé par défaut, tous les volumes créés à partir de l'AMI (qu'ils soient issus de snapshots chiffrés ou non chiffrés) sont chiffrés. Si le chiffrement par défaut n'est pas activé, l'instance conserve l'état de chiffrement de l'AMI.

Vous pouvez également lancer une instance et, simultanément, appliquer un nouvel état de chiffrement aux volumes créés en spécifiant les paramètres de chiffrement. Dans un tel cas, les comportements suivants sont observés :

Lancement sans paramètres de chiffrement

  • Un instantané non chiffré est restauré dans un volume non chiffré, sauf si le chiffrement par défaut est activé, auquel cas tous les volumes nouvellement créés seront chiffrés.

  • Un instantané non chiffré que vous possédez est restauré dans un volume qui est chiffré avec la même clé KMS.

  • Un instantané chiffré qui ne vous appartient pas (par exemple, l'AMI est partagée avec vous) est restauré sur un volume chiffré par la clé KMS par défaut de votre AWS compte.

Les comportements par défaut peuvent être ignorés en spécifiant les paramètres de chiffrement. Les paramètres disponibles sont Encrypted et KmsKeyId. La définition du seul paramètre Encrypted produit les effets suivants :

Comportements en cas de lancement d’instance avec le paramètre Encrypted défini, mais sans spécifier le paramètre KmsKeyId

  • Un instantané non chiffré est restauré dans un volume EBS qui est chiffré avec la clé KMS par défaut de votre compte AWS .

  • Un instantané chiffré que vous possédez est restauré dans un volume EBS qui est chiffré avec la même clé KMS. (En d’autres mots, le paramètre Encrypted est sans effet.)

  • Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est restauré sur un volume chiffré à l'aide de la clé KMS par défaut de votre AWS compte. (En d’autres mots, le paramètre Encrypted est sans effet.)

La définition des paramètres Encrypted et KmsKeyId vous permet de spécifier une clé clé KMS autre que la clé par défaut pour une opération de chiffrement. Les comportements suivants sont observés :

Instance avec définition des paramètres Encrypted et KmsKeyId

  • Un instantané non chiffré est restauré dans un volume EBS qui est chiffré avec la clé KMS spécifiée.

  • Un instantané chiffré est restauré dans un volume EBS qui est chiffré non pas avec la clé KMS d’origine mais avec la clé KMS spécifiée.

L’envoi de KmsKeyId sans définir également le paramètre Encrypted génère une erreur.

Les sections suivantes fournissent des exemples de lancement d’instances à partir d’AMI avec des paramètres de chiffrement autres que les paramètres par défaut. Dans chacun de ces scénarios, les paramètres fournis à l’action RunInstances entraînent un changement de l’état de chiffrement pendant la restauration d’un volume à partir d’un instantané.

Pour plus d’informations sur l’utilisation de la console pour lancer une instance à partir d’une AMI, consultez la section Lancer une EC2 instance Amazon.

Chiffrement d’un volume pendant le lancement

Dans cet exemple, une AMI basée sur un instantané non chiffré est utilisée pour lancer une instance EC2 avec un volume EBS chiffré.

Lancement d’une instance et chiffrement d’un volume à la volée.

Le paramètre Encrypted seul entraîne le chiffrement du volume pour cette instance. Le paramètre KmsKeyId est facultatif. Si aucun ID de clé KMS n'est spécifié, la clé KMS par défaut du AWS compte est utilisée pour chiffrer le volume. Pour chiffrer le volume avec une autre clé clé KMS que vous possédez, fournissez le paramètre KmsKeyId.

Rechiffrement d’un volume pendant le lancement

Dans cet exemple, une AMI basée sur un instantané chiffré est utilisée pour lancer une instance EC2 avec un volume EBS chiffré à l’aide d’une nouvelle clé KMS.

Lancement d’une instance et rechiffrement d’un volume à la volée.

Si vous possédez l’AMI et que vous ne spécifiez pas de paramètres de chiffrement, l’instance obtenue dispose d’un volume chiffré avec la même clé KMS que l’instantané. Si l’AMI est partagée avec vous mais que vous n’en êtes pas propriétaire, et si vous ne spécifiez pas de paramètres de chiffrement, le volume est chiffré avec votre clé KMS par défaut. Avec les paramètres de chiffrement fournis, comme illustré, le volume est chiffré avec la clé KMS spécifiée.

Modification de l’état de chiffrement de plusieurs volumes pendant le lancement

Dans cet exemple plus complexe, une AMI basée sur plusieurs instantanés (chacun avec son propre état de chiffrement) est utilisée pour lancer une instance EC2 avec un volume nouvellement chiffré et un volume rechiffré.

Chiffrement et rechiffrement de plusieurs volumes pendant le lancement.

Dans ce scénario, l’action RunInstances reçoit des paramètres de chiffrement pour chacun des instantanés source. Lorsque tous les paramètres de chiffrement sont spécifiés, l’instance créée est la même, que vous possédiez ou non l’AMI.

Scénarios de copie d’images

Les AMI Amazon EC2 sont copiées au moyen de l’action CopyImage, soit via la AWS Management Console , soit directement avec l’API Amazon EC2 ou la CLI.

Par défaut, sans paramètres de chiffrement explicites, une action CopyImage conserve l’état de chiffrement existant des instantanés source d’une AMI lors de la copie. Vous pouvez également copier une AMI et, simultanément, appliquer un nouvel état de chiffrement à ses instantanés EBS associés en spécifiant les paramètres de chiffrement. Dans un tel cas, les comportements suivants sont observés :

Copie sans paramètres de chiffrement

  • Un instantané non chiffré est copié dans un autre instantané non chiffré, sauf si le chiffrement par défaut est activé, auquel cas tous les instantanés nouvellement créés seront chiffrés.

  • Un instantané chiffré que vous possédez est copié dans un instantané chiffré avec la même clé KMS.

  • Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est copié dans un instantané chiffré par la clé KMS par défaut de votre AWS compte.

Tous ces comportements par défaut peuvent être ignorés en spécifiant les paramètres de chiffrement. Les paramètres disponibles sont Encrypted et KmsKeyId. La définition du seul paramètre Encrypted produit les effets suivants :

Comportements en cas de copie-image avec le paramètre Encrypted défini, mais pas le paramètre KmsKeyId

  • Un instantané non chiffré est copié dans un instantané chiffré avec la clé KMS par défaut du compte AWS .

  • Un instantané chiffré est copié dans un instantané chiffré avec la même clé KMS. (En d’autres mots, le paramètre Encrypted est sans effet.)

  • Un instantané chiffré qui ne vous appartient pas (c'est-à-dire que l'AMI est partagée avec vous) est copié sur un volume chiffré à l'aide de la clé KMS par défaut de votre AWS compte. (En d’autres mots, le paramètre Encrypted est sans effet.)

La définition des paramètres Encrypted et KmsKeyId vous permet de spécifier une clé clé KMS gérée par le client pour une opération de chiffrement. Les comportements suivants sont observés :

Comportements en cas de copie-image avec les paramètres Encrypted et KmsKeyId définis

  • Un instantané non chiffré est copié dans un instantané chiffré avec la clé KMS spécifiée.

  • Un instantané chiffré est copié dans un instantané qui est chiffré non pas avec la clé KMS d’origine mais avec la clé KMS spécifiée.

L’envoi de KmsKeyId sans définir également le paramètre Encrypted génère une erreur.

La section suivante fournit un exemple de copie d’une AMI avec des paramètres de chiffrement personnalisés, ce qui entraîne un changement de l’était de chiffrement.

Pour obtenir des instructions détaillées sur l’utilisation de la console, consultez la section Copier un Amazon EC2 AMI.

Chiffrement d’une image non chiffrée pendant la copie

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L’action CopyImage est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l’état de chiffrement de l’instantané racine change, de sorte que l’AMI cible est basée sur un instantané racine contenant les mêmes données que l’instantané source, mais chiffrée à l’aide de la clé spécifiée. Vous supportez des coûts de stockage pour les instantanés dans les deux AMI, ainsi que des frais pour toutes les instances que vous lancez à partir de l’une ou l’autre AMI.

Note

L'activation du chiffrement par défaut a le même effet que la définition du Encrypted paramètre sur true pour tous les instantanés de l'AMI.

Copier l’AMI et chiffrer l’instantané à la volée

Définir le paramètre Encrypted chiffre l’instantané unique de cette instance. Si vous ne spécifiez pas le paramètre KmsKeyId, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l’instantané.

Note

Vous pouvez également copier une image avec plusieurs instantanés et configurer l’état de chiffrement de chacun individuellement.