Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
EBSChiffrement Amazon
Utilisez EBS le chiffrement Amazon comme solution de chiffrement simple pour vos EBS ressources Amazon associées à vos instances AmazonEC2. Avec Amazon EBS Encryption, vous n'êtes pas obligé de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. EBSLe chiffrement Amazon est utilisé AWS KMS keys lors de la création de volumes chiffrés et de snapshots.
Les opérations de chiffrement ont lieu sur les serveurs EC2 hébergeant les instances, garantissant ainsi la sécurité data-in-transit entre une instance data-at-rest et le EBS stockage qui lui est rattaché.
Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à une instance. Tous les types d'EC2instances Amazon prennent en charge EBS le chiffrement Amazon.
Table des matières
Chiffrer les ressources EBS
Vous cryptez les EBS volumes en activant le chiffrement, soit en utilisant le chiffrement par défaut, soit en activant le chiffrement lorsque vous créez un volume que vous souhaitez chiffrer.
Lorsque vous chiffrez un volume, vous pouvez spécifier la KMS clé de chiffrement symétrique à utiliser pour chiffrer le volume. Si vous ne spécifiez pas de KMS clé, la KMS clé utilisée pour le chiffrement dépend de l'état de chiffrement de l'instantané source et de son propriétaire. Pour plus d’informations, consultez le tableau des résultats de chiffrement.
Note
Si vous utilisez le API ou AWS CLI pour spécifier une KMS clé, sachez que la clé est AWS authentifiée de KMS manière asynchrone. Si vous spécifiez un identifiant de KMS clé, un alias ou un ARN identifiant non valide, l'action peut sembler terminée, mais elle finit par échouer.
Vous ne pouvez pas modifier la KMS clé associée à un instantané ou à un volume existant. Toutefois, vous pouvez associer une KMS clé différente lors d'une opération de copie instantanée afin que l'instantané copié obtenu soit chiffré par la nouvelle KMS clé.
Chiffrer un volume vide lors de sa création
Lorsque vous créez un nouveau EBS volume vide, vous pouvez le chiffrer en activant le chiffrement pour l'opération de création de volume spécifique. Si vous avez activé EBS le chiffrement par défaut, le volume est automatiquement chiffré à l'aide de votre KMS clé de EBS chiffrement par défaut. Vous pouvez également spécifier une KMS clé de chiffrement symétrique différente pour l'opération de création de volume spécifique. Le volume est chiffré dès sa mise à disposition afin que vos données soient toujours sécurisées. Pour connaître les procédures détaillées, consultez Création d'un EBS volume Amazon.
Par défaut, la KMS clé que vous avez sélectionnée lors de la création d'un volume chiffre les instantanés que vous créez à partir du volume et les volumes que vous restaurez à partir de ces instantanés chiffrés. Vous ne pouvez pas supprimer le chiffrement d’un volume ou d’un instantané chiffré, ce qui signifie qu’un volume restauré à partir d’un instantané chiffré, ou une copie d’un instantané chiffré, reste toujours chiffré(e).
Les instantanés publics de volumes chiffrés ne sont pas pris en charge. Vous pouvez cependant partager un instantané chiffré avec certains comptes. Pour obtenir des instructions complètes, consultez Partager un EBS instantané Amazon avec d'autres AWS comptes.
Chiffrer les ressources non chiffrées
Vous ne pouvez pas directement chiffrer les volumes ou les instantanés non chiffrés existants. Toutefois, vous pouvez créer des volumes ou des instantanés chiffrés à partir de volumes ou d’instantanés non chiffrés. Si vous activez le chiffrement par défaut, Amazon chiffre EBS automatiquement les nouveaux volumes et les nouveaux instantanés à l'aide de votre KMS clé de chiffrement par défaut. EBS Sinon, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané individuel, en utilisant soit la KMS clé par défaut pour le EBS chiffrement Amazon, soit une clé de chiffrement symétrique gérée par le client. Pour plus d’informations, consultez Création d'un EBS volume Amazon et Copier un EBS instantané Amazon.
Pour chiffrer la copie instantanée sur une clé gérée par le client, vous devez à la fois activer le chiffrement et spécifier la KMS clé, comme indiqué dansCopie d’un instantané non chiffré (chiffrement par défaut non activé).
Important
Amazon EBS ne prend pas en charge les KMS clés de chiffrement asymétriques. Pour plus d'informations, consultez la section Utilisation de KMS clés de chiffrement symétriques et asymétriques dans le manuel du AWS Key Management Service développeur.
Vous pouvez également appliquer de nouveaux états de chiffrement lors du lancement d'une instance à partir d'un système EBS -backedAMI. Cela est dû au fait que EBS -backed AMIs inclut des instantanés de EBS volumes qui peuvent être chiffrés comme décrit. Pour plus d'informations, voir Utiliser le chiffrement avec EBS -backed AMIs.
