Crittografa i dati archiviati nei volumi Amazon EBS per Amazon ECS

Puoi usare AWS Key Management Service (AWS KMS) per creare e gestire chiavi crittografiche che proteggono i tuoi dati. I volumi Amazon EBS vengono crittografati a riposo utilizzando AWS KMS keys. I seguenti tipi di dati sono crittografati:

Puoi configurare la crittografia Amazon EBS per impostazione predefinita in modo che tutti i nuovi volumi creati e collegati a un'attività vengano crittografati utilizzando la chiave KMS che configuri per il tuo account. Per ulteriori informazioni sulla crittografia e la crittografia di Amazon EBS per impostazione predefinita, consulta Amazon EBS encryption nella Amazon EC2 User Guide.

I volumi Amazon EBS collegati alle attività possono essere crittografati utilizzando un alias alias/aws/ebs predefinito Chiave gestita da AWS o una chiave simmetrica gestita dal cliente. Chiavi gestite da AWS I valori predefiniti sono unici Account AWS per ciascun utente Regione AWS e vengono creati automaticamente. Per creare una chiave simmetrica gestita dal cliente, segui i passaggi descritti in Creazione di chiavi KMS con crittografia simmetrica nella Guida per gli sviluppatori.AWS KMS

Politica delle chiavi KMS gestite dal cliente

Per crittografare un volume EBS collegato all'attività utilizzando la chiave gestita dal cliente, è necessario configurare la politica delle chiavi KMS per garantire che il ruolo IAM utilizzato per la configurazione del volume disponga delle autorizzazioni necessarie per utilizzare la chiave. La policy chiave deve includere le autorizzazioni e. kms:CreateGrant kms:GenerateDataKey* Le kms:ReEncryptFrom autorizzazioni kms:ReEncryptTo e sono necessarie per crittografare i volumi creati utilizzando le istantanee. Se desideri configurare e crittografare solo nuovi volumi vuoti da allegare, puoi escludere le autorizzazioni and. kms:ReEncryptTo kms:ReEncryptFrom

Il seguente frammento di codice JSON mostra le principali dichiarazioni politiche che puoi allegare alla tua politica chiave KMS. L'utilizzo di queste istruzioni consentirà ad Amazon ECS di utilizzare la chiave per crittografare il volume EBS. Per utilizzare le dichiarazioni politiche di esempio, sostituiscile user input placeholders con le tue informazioni. Come sempre, configura solo le autorizzazioni di cui hai bisogno.

{
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:DescribeKey",
      "Resource":"*"
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": [
      "kms:GenerateDataKey*",
      "kms:ReEncryptTo",
      "kms:ReEncryptFrom"
      ],
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:CreateGrant",
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }

Per ulteriori informazioni sulle politiche e le autorizzazioni chiave, consulta Politiche chiave AWS KMS e AWS KMS autorizzazioni nella Guida per gli AWS KMS sviluppatori. Per la risoluzione dei problemi relativi agli allegati dei volumi EBS relativi alle autorizzazioni chiave, consulta. Risoluzione dei problemi relativi ai volumi Amazon EBS allegati alle attività di Amazon ECS