Comment fonctionne EBS le chiffrement Amazon - Amazon EBS
Comment fonctionne EBS le chiffrement lorsque le cliché est chiffréComment fonctionne EBS le chiffrement lorsque l'instantané n'est pas chiffréComment les clés inutilisables affectent KMS les clés de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne EBS le chiffrement Amazon

Vous pouvez chiffrer à la fois le volume de démarrage et le volume de données d'une EC2 instance.

Lorsque vous créez un EBS volume chiffré et que vous l'attachez à un type d'instance pris en charge, les types de données suivants sont chiffrés :

  • Données au repos à l’intérieur du volume

  • Toutes les données circulant entre le volume et l’instance

  • Tous les instantanés créés à partir du volume

  • Tous les volumes créés à partir de ces instantanés

Amazon EBS chiffre votre volume à l'aide d'une clé de données en utilisant le chiffrement de données standard AES -256. La clé de données est générée AWS KMS puis cryptée AWS KMS avec une AWS KMS clé avant d'être stockée avec les informations de votre volume. Amazon crée EBS automatiquement un identifiant unique Clé gérée par AWS dans chaque région dans laquelle vous créez des EBS ressources Amazon. L'alias de la KMS clé estaws/ebs. Par défaut, Amazon EBS utilise cette KMS clé pour le chiffrement. Vous pouvez également utiliser une clé de chiffrement symétrique gérée par le client que vous créez. L'utilisation de votre propre KMS clé vous donne plus de flexibilité, notamment la possibilité de créer, de faire pivoter et de désactiver KMS des touches.

Amazon EC2 utilise AWS KMS pour chiffrer et déchiffrer vos EBS volumes de manière légèrement différente selon que l'instantané à partir duquel vous créez un volume chiffré est chiffré ou non chiffré.

Comment fonctionne EBS le chiffrement lorsque le cliché est chiffré

Lorsque vous créez un volume chiffré à partir d'un instantané chiffré que vous possédez, Amazon EC2 travaille avec lui AWS KMS pour chiffrer et déchiffrer vos EBS volumes comme suit :

  1. Amazon EC2 envoie une GenerateDataKeyWithoutPlaintextdemande à AWS KMS, en spécifiant la KMS clé que vous avez choisie pour le chiffrement du volume.

  2. Si le volume est chiffré à l'aide de la même KMS clé que le cliché, AWS KMS utilise la même clé de données que le cliché et le chiffre sous cette même KMS clé. Si le volume est chiffré à l'aide d'une autre KMS clé, AWS KMS génère une nouvelle clé de données et le chiffre sous la KMS clé que vous avez spécifiée. La clé de données cryptée est envoyée à Amazon EBS pour être stockée avec les métadonnées du volume.

  3. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une CreateGrantdemande à AWS KMS afin de déchiffrer la clé de données.

  4. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon. EC2

  5. Amazon EC2 utilise la clé de données en texte brut du matériel Nitro pour chiffrer les E/S du disque vers le volume. La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l’instance.

Comment fonctionne EBS le chiffrement lorsque l'instantané n'est pas chiffré

Lorsque vous créez un volume chiffré à partir d'un instantané non chiffré, Amazon EC2 travaille avec AWS KMS lui pour chiffrer et déchiffrer vos EBS volumes comme suit :

  1. Amazon EC2 envoie une CreateGrantdemande à AWS KMS, afin de chiffrer le volume créé à partir de l'instantané.

  2. Amazon EC2 envoie une GenerateDataKeyWithoutPlaintextdemande à AWS KMS, en spécifiant la KMS clé que vous avez choisie pour le chiffrement du volume.

  3. AWS KMS génère une nouvelle clé de données, la chiffre sous la KMS clé que vous avez choisie pour le chiffrement du volume et envoie la clé de données chiffrée EBS à Amazon pour qu'elle soit stockée avec les métadonnées du volume.

  4. Amazon EC2 envoie une demande de déchiffrement AWS KMS pour déchiffrer la clé de données chiffrée, qu'elle utilise ensuite pour chiffrer les données du volume.

  5. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une CreateGrantdemande à AWS KMS, afin qu'il puisse déchiffrer la clé de données.

  6. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une demande de déchiffrement à AWS KMS, en spécifiant la clé de données chiffrée.

  7. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon. EC2

  8. Amazon EC2 utilise la clé de données en texte brut du matériel Nitro pour chiffrer les E/S du disque vers le volume. La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l’instance.

Pour plus d'informations, consultez Comment Amazon Elastic Block Store (AmazonEBS) utilise AWS KMS et le deuxième EC2 exemple d'Amazon dans le guide du AWS Key Management Service développeur.

Comment les clés inutilisables affectent KMS les clés de données

Lorsqu'une KMS clé devient inutilisable, l'effet est quasi immédiat (sous réserve d'une éventuelle cohérence). L'état de la KMS clé change pour refléter sa nouvelle condition, et toutes les demandes d'utilisation de la KMS clé dans des opérations cryptographiques échouent.

Lorsque vous effectuez une action qui rend la KMS clé inutilisable, il n'y a aucun effet immédiat sur l'EC2instance ou les EBS volumes attachés. Amazon EC2 utilise la clé de données, et non la KMS clé, pour chiffrer toutes les E/S du disque lorsque le volume est attaché à l'instance.

Toutefois, lorsque le EBS volume chiffré est détaché de l'EC2instance, Amazon EBS supprime la clé de données du matériel Nitro. La prochaine fois que le EBS volume chiffré est attaché à une EC2 instance, la pièce jointe échoue, car Amazon EBS ne peut pas utiliser la KMS clé pour déchiffrer la clé de données chiffrée du volume. Pour réutiliser le EBS volume, vous devez rendre la KMS clé réutilisable.

Astuce

Si vous ne souhaitez plus accéder aux données stockées dans un EBS volume chiffré à l'aide d'une clé de données générée à partir d'une KMS clé que vous souhaitez rendre inutilisable, nous vous recommandons de détacher le EBS volume de l'EC2instance avant de rendre la KMS clé inutilisable.

Pour plus d'informations, consultez la section Comment les clés inutilisables affectent KMS les clés de données dans le Guide du AWS Key Management Service développeur.