Bagaimana Amazon Elastic Block Store (AmazonEBS) menggunakan AWS KMS - AWS Key Management Service
EBSEnkripsi AmazonMenggunakan KMS kunci dan kunci dataKonteks EBS enkripsi AmazonMendeteksi kegagalan Amazon EBSMenggunakan AWS CloudFormation untuk membuat volume Amazon terenkripsi EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Elastic Block Store (AmazonEBS) menggunakan AWS KMS

Topik ini membahas secara rinci bagaimana Amazon Elastic Block Store (AmazonEBS) menggunakan AWS KMS untuk mengenkripsi volume dan snapshot. Untuk petunjuk dasar tentang mengenkripsi EBS volume Amazon, lihat Enkripsi Amazon EBS.

EBSEnkripsi Amazon

Saat Anda melampirkan EBS volume Amazon terenkripsi ke jenis instans Amazon Elastic Compute Cloud (AmazonEC2) yang didukung, data yang disimpan saat diam pada volume, disk I/O, dan snapshot yang dibuat dari volume semuanya akan dienkripsi. Enkripsi terjadi pada server yang meng-host EC2 instans Amazon.

Fitur ini didukung pada semua jenis EBS volume Amazon. Anda mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume lain; enkripsi dan dekripsi ditangani secara transparan dan tidak memerlukan tindakan tambahan dari Anda, instans Anda, atau aplikasi AndaEC2. Snapshot volume terenkripsi dienkripsi secara otomatis, dan volume yang dibuat dari snapshot terenkripsi juga dienkripsi secara otomatis.

Status enkripsi EBS volume ditentukan saat Anda membuat volume. Anda tidak dapat mengubah status enkripsi dari volume yang sudah ada. Namun, Anda dapat memigrasi data antara volume terenkripsi dan tidak terenkripsi dan menerapkan status enkripsi baru saat menyalin snapshot.

Amazon EBS mendukung enkripsi opsional secara default. Anda dapat mengaktifkan enkripsi secara otomatis pada semua EBS volume baru dan salinan snapshot di Akun AWS dan Wilayah Anda. Pengaturan konfigurasi ini tidak memengaruhi volume atau snapshot yang sudah ada. Untuk detailnya, lihat EBSEnkripsi Amazon di Panduan EBS Pengguna Amazon.

Menggunakan KMS kunci dan kunci data

Saat Anda membuat EBS volume Amazon terenkripsi, Anda menentukan file. AWS KMS key Secara default, Amazon EBS menggunakan Kunci yang dikelola AWSfor Amazon EBS di akun Anda (aws/ebs). Namun, Anda dapat menentukan kunci terkelola pelanggan yang Anda buat dan kelola.

Untuk menggunakan kunci yang dikelola pelanggan, Anda harus memberi EBS izin kepada Amazon untuk menggunakan KMS kunci tersebut atas nama Anda. Untuk daftar izin yang diperlukan, lihat Izin untuk IAM pengguna di Panduan EC2 Pengguna Amazon atau Panduan EC2 Pengguna Amazon.

penting

Amazon hanya EBS mendukung KMSkunci simetris. Anda tidak dapat menggunakan KMSkunci asimetris untuk mengenkripsi volume AmazonEBS. Untuk bantuan menentukan apakah KMS kunci simetris atau asimetris, lihat. Identifikasi berbagai jenis kunci

Untuk setiap volume, Amazon EBS meminta AWS KMS untuk menghasilkan kunci data unik yang dienkripsi di bawah KMS kunci yang Anda tentukan. Amazon EBS menyimpan kunci data terenkripsi dengan volume. Kemudian, saat Anda melampirkan volume ke EC2 instans Amazon, Amazon EBS memanggil AWS KMS untuk mendekripsi kunci data. Amazon EBS menggunakan kunci data plaintext dalam memori hypervisor untuk mengenkripsi semua disk I/O ke volume. Untuk detailnya, lihat Cara kerja EBS enkripsi di Panduan EC2 Pengguna Amazon atau Panduan EC2 Pengguna Amazon.

Konteks EBS enkripsi Amazon

Dalam permintaannya GenerateDataKeyWithoutPlaintextdan Dekripsi ke, AWS KMS Amazon EBS menggunakan konteks enkripsi dengan pasangan nama-nilai yang mengidentifikasi volume atau snapshot dalam permintaan. Nama dalam konteks enkripsi tidak berbeda.

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Untuk semua volume dan untuk snapshot terenkripsi yang dibuat dengan operasi Amazon EBS CreateSnapshot, Amazon EBS menggunakan ID volume sebagai nilai konteks enkripsi. Di requestParameters bidang entri CloudTrail log, konteks enkripsi terlihat mirip dengan yang berikut:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Untuk snapshot terenkripsi yang dibuat dengan operasi Amazon EC2 CopySnapshot, Amazon EBS menggunakan ID snapshot sebagai nilai konteks enkripsi. Di requestParameters bidang entri CloudTrail log, konteks enkripsi terlihat mirip dengan yang berikut:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Mendeteksi kegagalan Amazon EBS

Untuk membuat EBS volume terenkripsi atau melampirkan volume ke EC2 instance, Amazon EBS dan EC2 infrastruktur Amazon harus dapat menggunakan KMS kunci yang Anda tentukan untuk enkripsi EBS volume. Ketika KMS kunci tidak dapat digunakan—misalnya, ketika status kuncinya tidak Enabled —pembuatan volume atau lampiran volume gagal.

Dalam hal ini, Amazon EBS mengirimkan acara ke Amazon EventBridge (sebelumnya CloudWatch Acara) untuk memberi tahu Anda tentang kegagalan tersebut. Di EventBridge, Anda dapat menetapkan aturan yang memicu tindakan otomatis dalam menanggapi peristiwa ini. Untuk informasi selengkapnya, lihat CloudWatch Acara Amazon untuk Amazon EBS di Panduan EC2 Pengguna Amazon, terutama bagian berikut:

Untuk memperbaiki kegagalan ini, pastikan KMS kunci yang Anda tentukan untuk enkripsi EBS volume diaktifkan. Untuk melakukan ini, pertama-tama lihat KMS kunci untuk menentukan status kunci saat ini (kolom Status di AWS Management Console). Kemudian, lihat informasi di salah satu tautan berikut:

Menggunakan AWS CloudFormation untuk membuat volume Amazon terenkripsi EBS

Anda dapat menggunakan AWS CloudFormationuntuk membuat volume Amazon EBS terenkripsi. Untuk informasi selengkapnya, lihat AWS::EC2: :Volume di Panduan AWS CloudFormation Pengguna.