Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

EBSEnkripsi Amazon

Gunakan EBS enkripsi Amazon sebagai solusi enkripsi langsung untuk EBS sumber daya Amazon yang terkait dengan instans Amazon EC2 Anda. Dengan EBS enkripsi Amazon, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. EBSEnkripsi Amazon digunakan AWS KMS keys saat membuat volume dan snapshot terenkripsi.

Operasi enkripsi terjadi pada server yang meng-host EC2 instance, memastikan keamanan keduanya data-at-rest dan data-in-transit antara instance dan EBS penyimpanan terlampirnya.

Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan. Semua jenis EC2 instans Amazon mendukung EBS enkripsi Amazon.

Enkripsi sumber daya EBS

Anda mengenkripsi EBS volume dengan mengaktifkan enkripsi, baik menggunakan enkripsi secara default atau dengan mengaktifkan enkripsi saat Anda membuat volume yang ingin Anda enkripsi.

Saat Anda mengenkripsi volume, Anda dapat menentukan KMS kunci enkripsi simetris yang akan digunakan untuk mengenkripsi volume. Jika Anda tidak menentukan KMS kunci, KMS kunci yang digunakan untuk enkripsi tergantung pada status enkripsi snapshot sumber dan kepemilikannya. Untuk informasi selengkapnya, lihat tabel hasil enkripsi.

Anda tidak dapat mengubah KMS kunci yang terkait dengan snapshot atau volume yang ada. Namun, Anda dapat mengaitkan KMS kunci yang berbeda selama operasi penyalinan snapshot sehingga snapshot yang disalin yang dihasilkan dienkripsi oleh kunci baru. KMS

Enkripsi volume kosong pada saat pembuatan

Saat Anda membuat EBS volume baru yang kosong, Anda dapat mengenkripsinya dengan mengaktifkan enkripsi untuk operasi pembuatan volume tertentu. Jika Anda mengaktifkan EBS enkripsi secara default, volume secara otomatis dienkripsi menggunakan KMS kunci default Anda untuk EBS enkripsi. Atau, Anda dapat menentukan KMS kunci enkripsi simetris yang berbeda untuk operasi pembuatan volume tertentu. Volume dienkripsi saat pertama kali tersedia, sehingga data Anda selalu aman. Untuk prosedur terperinci, lihat Buat EBS volume Amazon.

Secara default, KMS kunci yang Anda pilih saat membuat volume mengenkripsi snapshot yang Anda buat dari volume dan volume yang Anda pulihkan dari snapshot terenkripsi tersebut. Anda tidak dapat menghapus enkripsi dari volume atau snapshot terenkripsi, yang berarti bahwa volume yang dipulihkan dari snapshot terenkripsi, atau salinan snapshot terenkripsi, selalu dienkripsi.

Snapshot publik dari volume terenkripsi tidak didukung, tetapi Anda dapat berbagi snapshot terenkripsi dengan akun tertentu. Untuk petunjuk terperinci, lihat Bagikan EBS snapshot Amazon dengan akun lain AWS.

Mengenkripsi sumber daya yang tidak terenkripsi

Anda tidak dapat secara langsung mengenkripsi volume atau snapshot yang tidak terenkripsi. Namun, Anda dapat membuat volume atau snapshot terenkripsi dari volume atau snapshot yang tidak terenkripsi. Jika Anda mengaktifkan enkripsi secara default, Amazon EBS secara otomatis mengenkripsi volume dan snapshot baru menggunakan KMS kunci default Anda untuk enkripsi. EBS Jika tidak, Anda dapat mengaktifkan enkripsi saat membuat volume atau snapshot individual, menggunakan KMS kunci default untuk EBS enkripsi Amazon atau kunci enkripsi terkelola pelanggan simetris. Untuk informasi selengkapnya, silakan lihat Buat EBS volume Amazon dan Salin EBS snapshot Amazon.

Untuk mengenkripsi salinan snapshot ke kunci yang dikelola pelanggan, Anda harus mengaktifkan enkripsi dan menentukan KMS kunci, seperti yang ditunjukkan pada. Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)

Anda juga dapat menerapkan status enkripsi baru saat meluncurkan instance dari EBS -backedAMI. Ini karena EBS -backed AMIs menyertakan snapshot EBS volume yang dapat dienkripsi seperti yang dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan enkripsi dengan EBS -backed AMIs.