Exigences relatives au EBS chiffrement Amazon - Amazon EBS
Types de volume pris en chargeTypes d’instance pris en chargeAutorisations pour les utilisateurs Autorisations pour les instances

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exigences relatives au EBS chiffrement Amazon

Avant de commencer, vérifiez que les conditions requises suivantes sont respectées :

Types de volume pris en charge

Le chiffrement est pris en charge par tous les types de EBS volumes. Vous pouvez vous attendre aux mêmes IOPS performances sur les volumes chiffrés que sur les volumes non chiffrés, avec un effet minimal sur la latence. Vous pouvez accéder à des volumes chiffrés de la même façon qu’à des volumes non chiffrés. Le chiffrement et le déchiffrement sont gérés de façon transparente et ne nécessitent aucune action supplémentaire de votre part ou de vos applications.

Types d’instance pris en charge

EBSLe chiffrement Amazon est disponible sur tous les types d'instances de génération actuelle et précédente.

Autorisations pour les utilisateurs

Lorsque vous utilisez une KMS clé pour le EBS chiffrement, la politique des KMS clés permet à tout utilisateur ayant accès aux AWS KMS actions requises d'utiliser cette KMS clé pour chiffrer ou déchiffrer EBS des ressources. Vous devez autoriser les utilisateurs à effectuer les actions suivantes afin d'utiliser EBS le chiffrement :

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Astuce

Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de kms:GrantIsForAWSResource condition pour permettre à l'utilisateur de créer des autorisations sur la KMS clé uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Pour plus d'informations, consultez Autoriser l'accès au AWS compte et activer IAM les politiques dans la section Politique de clé par défaut du Guide du AWS Key Management Service développeur.

Autorisations pour les instances

Lorsqu'une instance tente d'interagir avec un volume chiffréAMI, un instantané ou un volume, une KMS clé est octroyée au rôle d'identité uniquement de l'instance. Le rôle d'identité uniquement est un IAM rôle utilisé par l'instance pour interagir avec des volumes chiffrés AMIs ou des instantanés en votre nom.

Les rôles réservés à l’identité n’ont pas besoin d’être créés ou supprimés manuellement, et aucune stratégie ne leur est associée. De plus, vous ne pouvez pas accéder aux informations d’identification du rôle réservé à l’identité.

Note

Les rôles d'identité uniquement ne sont pas utilisés par les applications de votre instance pour accéder à d'autres ressources AWS KMS chiffrées, telles que les objets Amazon S3 ou les tables Dynamo DB. Ces opérations sont effectuées à l'aide des informations d'identification d'un rôle d'EC2instance Amazon ou d'autres AWS informations d'identification que vous avez configurées sur votre instance.

Les rôles dotés uniquement d'une identité sont soumis aux politiques de contrôle des services (SCPs) et aux politiques KMSclés. Si une KMS clé SCP ou refuse au rôle d'identité uniquement l'accès à une KMS clé, vous risquez de ne pas lancer d'EC2instances avec des volumes chiffrés, d'utiliser des données chiffrées ou des AMIs instantanés.

Si vous créez une politique clé SCP ou qui refuse l'accès en fonction de l'emplacement du réseau à l'aide des clés de condition aws:SourceIp aws:VpcSourceIpaws:SourceVpc,, ou aws:SourceVpce AWS globales, vous devez vous assurer que ces déclarations de politique ne s'appliquent pas aux rôles réservés aux instances. Pour obtenir des exemples de stratégies, consultez la section Exemples de stratégies relatives aux périmètres de données (français non garanti).

Le rôle à identité uniquement ARNs utilise le format suivant :

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Lorsqu’une attribution de clé est attribuée à une instance, elle est attribuée à la session à rôle assumé spécifique à cette instance. Le directeur du bénéficiaire ARN utilise le format suivant :

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id