Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples EBS de chiffrement Amazon
Lorsque vous créez une EBS ressource chiffrée, elle est chiffrée par la KMS clé de EBS chiffrement par défaut de votre compte, sauf si vous spécifiez une autre clé gérée par le client dans les paramètres de création du volume ou dans le mappage des périphériques par blocs pour l'instance AMI ou.
Les exemples suivants montrent comment vous pouvez gérer l’état de chiffrement de vos volumes et instantanés. Pour obtenir une liste complète des cas de chiffrement, consultez le tableau des résultats de chiffrement.
Exemples
- Restauration d’un volume non chiffré (chiffrement par défaut non activé)
- Restauration d’un volume non chiffré (chiffrement par défaut activé)
- Copie d’un instantané non chiffré (chiffrement par défaut non activé)
- Copie d’un instantané non chiffré (chiffrement par défaut activé)
- Rechiffrement d’un volume chiffré
- Rechiffrement d’un instantané chiffré
- Migration des données entre les volumes chiffrés et non chiffrés
- Résultats du chiffrement
Restauration d’un volume non chiffré (chiffrement par défaut non activé)
Sans le chiffrement par défaut activé, un volume restauré à partir d’un instantané non chiffré est non chiffré par défaut. Cependant, vous pouvez chiffrer le volume créé en définissant le paramètre Encrypted et, éventuellement, le paramètre KmsKeyId. Le schéma suivant illustre le processus.
Si vous omettez ce KmsKeyId paramètre, le volume obtenu est chiffré à l'aide de votre KMS clé de EBS chiffrement par défaut. Vous devez spécifier un ID de KMS clé pour chiffrer le volume avec une autre KMS clé.
Pour de plus amples informations, veuillez consulter Création d'un EBS volume Amazon.
Restauration d’un volume non chiffré (chiffrement par défaut activé)
Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les volumes restaurés à partir d'instantanés non chiffrés, et aucun paramètre de chiffrement n'est requis pour que votre KMS clé par défaut soit utilisée. Le schéma suivant illustre ce cas simple par défaut :
Si vous souhaitez chiffrer le volume restauré avec une clé de chiffrement gérée par le client symétrique, vous devez fournir les paramètres Encrypted et KmsKeyId, comme illustré dans Restauration d’un volume non chiffré (chiffrement par défaut non activé).
Copie d’un instantané non chiffré (chiffrement par défaut non activé)
Sans le chiffrement par défaut activé, une copie d’un instantané non chiffré est non chiffrée par défaut. Cependant, vous pouvez chiffrer l’instantané créé en définissant le paramètre Encrypted et, éventuellement, le paramètre KmsKeyId. Si vous omettezKmsKeyId, l'instantané obtenu est chiffré à l'aide de votre KMS clé par défaut. Vous devez spécifier un ID de KMS clé pour chiffrer le volume avec une autre clé de chiffrement KMS symétrique.
Le schéma suivant illustre le processus.
Vous pouvez chiffrer un EBS volume en copiant un instantané non chiffré sur un instantané chiffré, puis en créant un volume à partir de l'instantané chiffré. Pour de plus amples informations, veuillez consulter Copier un EBS instantané Amazon.
Copie d’un instantané non chiffré (chiffrement par défaut activé)
Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les copies d'instantanés non chiffrés, et aucun paramètre de chiffrement n'est requis si votre KMS clé par défaut est utilisée. Le schéma suivant illustre ce scénario par défaut :
Rechiffrement d’un volume chiffré
Lorsque l'CreateVolumeaction est exécutée sur un instantané chiffré, vous avez la possibilité de le rechiffrer avec une autre KMS clé. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux KMS clés, la KMS clé A et la KMS clé B. L'instantané source est chiffré par la KMS clé A. Lors de la création du volume, avec l'KMSID de KMS clé B spécifié en paramètre, les données source sont automatiquement déchiffrées, puis rechiffrées par la clé B. KMS
Pour de plus amples informations, veuillez consulter Création d'un EBS volume Amazon.
Rechiffrement d’un instantané chiffré
La possibilité de chiffrer un instantané pendant la copie vous permet d'appliquer une nouvelle KMS clé de chiffrement symétrique à un instantané déjà chiffré dont vous êtes propriétaire. Les volumes restaurés à partir de la copie résultante ne sont accessibles qu'à l'aide de la nouvelle KMS clé. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux KMS clés, la KMS clé A et la KMS clé B. L'instantané source est chiffré par la KMS clé A. Pendant la copie, avec l'KMSID de KMS clé B spécifié en paramètre, les données source sont automatiquement rechiffrées par la KMS clé B.
Dans un scénario similaire, vous pouvez choisir d’appliquer de nouveaux paramètres de chiffrement à une copie d’instantané partagée avec vous. Par défaut, la copie est chiffrée à l'aide d'une KMS clé partagée par le propriétaire de l'instantané. Toutefois, nous vous recommandons de créer une copie de l'instantané partagé à l'aide d'une autre KMS clé que vous contrôlez. Cela protège votre accès au volume si la KMS clé d'origine est compromise ou si le propriétaire révoque la KMS clé pour une quelconque raison. Pour de plus amples informations, veuillez consulter Chiffrement et copie d’instantanés.
Migration des données entre les volumes chiffrés et non chiffrés
Lorsque vous avez accès à la fois à un volume chiffré et non chiffré, vous pouvez librement transférer des données entre eux. EC2effectue les opérations de chiffrement et de déchiffrement de manière transparente.
Par exemple, utilisez la commande rsync pour copier les données. Dans l’exemple suivant, les données source se trouvent à l’emplacement /mnt/source et le volume de destination est monté à l’emplacement /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Par exemple, utilisez la commande robocopy pour copier les données. Dans l’exemple suivant, les données source se trouvent à l’emplacement D:\ et le volume de destination est monté à l’emplacement E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Nous vous conseillons d’utiliser des dossiers plutôt que de copier tout un volume, afin d’éviter d’éventuels problèmes de dossiers masqués.
Résultats du chiffrement
Le tableau suivant décrit le résultat du chiffrement pour chaque combinaison possible de paramètres.
| Le chiffrement EBS est-il activé ? | Le chiffrement par défaut est-il activé ? | Source du volume | Par défaut (aucune clé gérée par le client n’est spécifiée) | Personnalisé (clé gérée par le client spécifiée) |
|---|---|---|---|---|
| Non | Non | Nouveau volume (vide) | Non chiffré | N/A |
| Non | Non | Instantané non chiffré que vous possédez | Non chiffré | |
| Non | Non | Instantané chiffré que vous possédez | Chiffré par la même clé | |
| Non | Non | Instantané non chiffré qui est partagé avec vous | Non chiffré | |
| Non | Non | Instantané chiffré qui est partagé avec vous | Chiffré par clé gérée par le client par défaut* | |
| Oui | Non | Nouveau volume | Chiffré par défaut par clé gérée par le client | Chiffré par une clé gérée par le client spécifiée** |
| Oui | Non | Instantané non chiffré que vous possédez | Chiffré par défaut par clé gérée par le client | |
| Oui | Non | Instantané chiffré que vous possédez | Chiffré par la même clé | |
| Oui | Non | Instantané non chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client | |
| Oui | Non | Instantané chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client | |
| Non | Oui | Nouveau volume (vide) | Chiffré par défaut par clé gérée par le client | N/A |
| Non | Oui | Instantané non chiffré que vous possédez | Chiffré par défaut par clé gérée par le client | |
| Non | Oui | Instantané chiffré que vous possédez | Chiffré par la même clé | |
| Non | Oui | Instantané non chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client | |
| Non | Oui | Instantané chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client | |
| Oui | Oui | Nouveau volume | Chiffré par défaut par clé gérée par le client | Chiffré par une clé gérée par le client spécifiée |
| Oui | Oui | Instantané non chiffré que vous possédez | Chiffré par défaut par clé gérée par le client | |
| Oui | Oui | Instantané chiffré que vous possédez | Chiffré par la même clé | |
| Oui | Oui | Instantané non chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client | |
| Oui | Oui | Instantané chiffré qui est partagé avec vous | Chiffré par défaut par clé gérée par le client |
* Il s'agit de la clé gérée par le client par défaut utilisée pour le EBS chiffrement du AWS compte et de la région. Par défaut, il s'agit d'une Clé gérée par AWS forme uniqueEBS, ou vous pouvez spécifier une clé gérée par le client.
** Il s’agit d’une clé gérée par le client spécifiée pour le volume au moment du lancement. Cette clé gérée par le client est utilisée à la place de la clé gérée par le client par défaut pour le AWS compte et la région.
