Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Bagaimana Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS

PDF
RSS
Mode fokus
Bagaimana Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS - AWS Key Management Service
Enkripsi Amazon EBSMenggunakan kunci KMS dan kunci dataKonteks enkripsi Amazon EBSMendeteksi kegagalan Amazon EBSMenggunakan AWS CloudFormation untuk membuat volume Amazon EBS terenkripsi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Topik ini membahas secara rinci bagaimana Amazon Elastic Block Store (Amazon EBS) gunakan AWS KMS untuk mengenkripsi volume dan snapshot. Untuk petunjuk dasar tentang mengenkripsi volume Amazon EBS, lihat Enkripsi Amazon EBS.

Enkripsi Amazon EBS

Saat Anda melampirkan volume Amazon EBS terenkripsi ke jenis instans Amazon Elastic Compute Cloud (Amazon EC2) yang didukung, data yang disimpan saat diam pada volume, disk I/O, dan snapshot yang dibuat dari volume semuanya akan dienkripsi. Enkripsi terjadi pada server yang meng-host EC2 instans Amazon.

Fitur ini didukung di semua jenis volume Amazon EBS. Anda mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume lain; enkripsi dan dekripsi ditangani secara transparan dan tidak memerlukan tindakan tambahan dari Anda, instans Anda, atau aplikasi Anda EC2 . Snapshot volume terenkripsi dienkripsi secara otomatis, dan volume yang dibuat dari snapshot terenkripsi juga dienkripsi secara otomatis.

Status enkripsi volume EBS ditentukan saat Anda membuat volume. Anda tidak dapat mengubah status enkripsi dari volume yang sudah ada. Namun, Anda dapat memigrasi data antara volume terenkripsi dan tidak terenkripsi dan menerapkan status enkripsi baru saat menyalin snapshot.

Amazon EBS mendukung enkripsi opsional secara default. Anda dapat mengaktifkan enkripsi secara otomatis pada semua volume EBS baru dan salinan snapshot di Akun AWS dan Wilayah Anda. Pengaturan konfigurasi ini tidak memengaruhi volume atau snapshot yang sudah ada. Untuk detailnya, lihat enkripsi Amazon EBS di Panduan Pengguna Amazon EBS.

Menggunakan kunci KMS dan kunci data

Saat membuat volume Amazon EBS terenkripsi, Anda menentukan volume. AWS KMS key Secara default, Amazon EBS menggunakan Kunci yang dikelola AWSuntuk Amazon EBS di akun Anda ()aws/ebs. Namun, Anda dapat menentukan kunci yang dikelola pelanggan yang Anda buat dan kelola.

Untuk menggunakan kunci yang dikelola pelanggan, Anda harus memberikan izin Amazon EBS untuk menggunakan kunci KMS atas nama Anda. Untuk daftar izin yang diperlukan, lihat Izin untuk pengguna IAM di Panduan Pengguna Amazon atau EC2 Panduan Pengguna Amazon EC2 .

penting

Amazon EBS hanya mendukung kunci KMS simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi volume Amazon EBS. Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat. Identifikasi berbagai jenis kunci

Untuk setiap volume, Amazon EBS meminta AWS KMS untuk menghasilkan kunci data unik yang dienkripsi di bawah kunci KMS yang Anda tentukan. Amazon EBS menyimpan kunci data terenkripsi dengan volume. Kemudian, saat Anda melampirkan volume ke EC2 instans Amazon, Amazon EBS memanggil AWS KMS untuk mendekripsi kunci data. Amazon EBS menggunakan kunci data plaintext dalam memori hipervisor untuk mengenkripsi semua disk I/O ke volume. Untuk detailnya, lihat Cara kerja enkripsi EBS di Panduan EC2 Pengguna Amazon atau Panduan EC2 Pengguna Amazon.

Konteks enkripsi Amazon EBS

Dalam permintaannya GenerateDataKeyWithoutPlaintextdan Dekripsi ke, AWS KMS Amazon EBS menggunakan konteks enkripsi dengan pasangan nama-nilai yang mengidentifikasi volume atau snapshot dalam permintaan. Nama dalam konteks enkripsi tidak berbeda.

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Untuk semua volume dan untuk snapshot terenkripsi yang dibuat dengan operasi Amazon EBS CreateSnapshot, Amazon EBS menggunakan ID volume sebagai nilai konteks enkripsi. Di requestParameters bidang entri CloudTrail log, konteks enkripsi terlihat mirip dengan yang berikut:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Untuk snapshot terenkripsi yang dibuat dengan operasi Amazon EC2 CopySnapshot, Amazon EBS menggunakan ID snapshot sebagai nilai konteks enkripsi. Di requestParameters bidang entri CloudTrail log, konteks enkripsi terlihat mirip dengan yang berikut:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Mendeteksi kegagalan Amazon EBS

Untuk membuat volume EBS terenkripsi atau melampirkan volume ke instans EC2 , Amazon EBS dan EC2 infrastruktur Amazon harus dapat menggunakan kunci KMS yang Anda tentukan untuk enkripsi volume EBS. Ketika kunci KMS tidak dapat digunakan—misalnya, ketika status kuncinya tidak Enabled —pembuatan volume atau lampiran volume gagal.

Dalam hal ini, Amazon EBS mengirimkan acara ke Amazon EventBridge (sebelumnya CloudWatch Acara) untuk memberi tahu Anda tentang kegagalan tersebut. Di EventBridge, Anda dapat menetapkan aturan yang memicu tindakan otomatis dalam menanggapi peristiwa ini. Untuk informasi selengkapnya, lihat CloudWatch Acara Amazon untuk Amazon EBS di Panduan EC2 Pengguna Amazon, terutama bagian berikut:

Untuk memperbaiki kegagalan ini, pastikan kunci KMS yang Anda tentukan untuk enkripsi volume EBS diaktifkan. Untuk melakukan ini, pertama-tama lihat kunci KMS untuk menentukan status kunci saat ini (kolom Status di AWS Management Console). Kemudian, lihat informasi di salah satu tautan berikut:

  • Jika status kunci kunci KMS dinonaktifkan, aktifkan.

  • Jika status kunci kunci KMS sedang menunggu impor, impor materi kunci.

  • Jika status kunci kunci KMS tertunda penghapusan, batalkan penghapusan kunci.

Menggunakan AWS CloudFormation untuk membuat volume Amazon EBS terenkripsi

Anda dapat menggunakan AWS CloudFormation untuk membuat volume Amazon EBS terenkripsi. Untuk informasi lebih lanjut, lihat AWS::EC2::Volume dalam Panduan Pengguna AWS CloudFormation .

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.