Crittografia Amazon EBS

Usa la crittografia Amazon EBS come soluzione di crittografia semplice per le tue risorse Amazon EBS associate alle tue istanze Amazon. EC2 Con Amazon EBS, non è necessario creare, mantenere e proteggere l'infrastruttura di gestione delle chiavi. La crittografia di Amazon EBS utilizza AWS KMS keys per la creazione di volumi e snapshot crittografati.

Le operazioni di crittografia vengono eseguite sui server che ospitano EC2 le istanze, garantendo la sicurezza di entrambe data-at-rest e data-in-transit tra un'istanza e lo storage EBS collegato.

A un'istanza possono essere collegati contemporaneamente sia volumi crittografati che non crittografati. Tutti i tipi di EC2 istanze Amazon supportano la crittografia Amazon EBS.

Indice

Crittografia delle risorse EBS

È possibile crittografare i volumi EBS abilitando la crittografia, utilizzando la crittografia per impostazione predefinita o abilitando la crittografia al momento della creazione di un volume che si desidera crittografare.

Quando esegui la crittografia di un volume, puoi specificare la chiave KMS simmetrica da usare per crittografare il volume. Se non è specificata alcuna Chiave KMS, la Chiave KMS che viene utilizzata per la crittografia dipende dallo stato di crittografia dello snapshot di origine e dalla sua proprietà. Per ulteriori informazioni, consulta la tabella dei risultati di crittografia.

Nota

Se utilizzi l'API o AWS CLI desideri specificare una chiave KMS, tieni presente che l' AWS autenticazione della chiave KMS avviene in modo asincrono. Se si specifica un ID Chiave KMS, un alias o un ARN non valido, l'azione sembra essere completata, ma alla fine ha esito negativo.

Non è possibile modificare la chiave Chiave KMS associata a un volume o a uno snapshot esistenti. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.

Crittografia di un volume vuoto in fase di creazione

Quando si crea un nuovo volume EBS vuoto, è possibile crittografarlo abilitando la crittografia per la specifica operazione di creazione del volume. Se per impostazione predefinita è stata abilitata la crittografia EBS, il volume viene crittografato automaticamente utilizzando la Chiave KMS predefinita per la crittografia EBS. In alternativa puoi specificare una chiave KMS simmetrica diversa per l'operazione di creazione del volume specifica. Il volume viene crittografato dal momento in cui è disponibile per la prima volta, in modo che i dati siano sempre protetti. Per le procedure dettagliate, consulta Creazione di un volume Amazon EBS.

Per impostazione predefinita, la Chiave KMS selezionata durante la creazione del volume viene utilizzata per eseguire la crittografia degli snapshot creati a partire dallo stesso volume e dei volumi ripristinati da tali snapshot. Non puoi rimuovere la crittografia da un volume o snapshot crittografato. Questo significa che un volume ripristinato da uno snapshot crittografato o una copia di uno snapshot crittografato è sempre crittografato.

Gli snapshot pubblici dei volumi crittografati non sono supportati, ma è possibile condividere uno snapshot crittografato con account specifici. Per istruzioni dettagliate, consulta Condividi uno snapshot di Amazon EBS con altri account AWS.

Crittografia delle risorse non crittografate

Non è possibile crittografare direttamente volumi o snapshot non crittografati esistenti. Tuttavia, puoi creare volumi o snapshot crittografati da volumi o snapshot non crittografati. Se la crittografia è abilitata per impostazione predefinita, Amazon EBS esegue automaticamente la crittografia dei nuovi volumi e snapshot utilizzando la chiave KMS predefinita per la crittografia su EBS. In caso contrario, puoi abilitare la crittografia al momento della creazione di uno specifico volume o snapshot utilizzando la chiave KMS di default per la crittografia Amazon EBS o una chiave di crittografia simmetrica gestita dal cliente. Per ulteriori informazioni, consulta Creazione di un volume Amazon EBS e Copia di uno snapshot Amazon EBS.

Per crittografare la copia dello snapshot in un chiave gestita dal cliente, è necessario attivare la crittografia e specificare il Chiave KMS, come mostrato nella Copiare una snapshot non crittografata (crittografia predefinita non abilitata).

Importante

Amazon EBS non supporta le chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

Puoi anche applicare nuovi stati di crittografia durante l'avvio di un'istanza da un'AMI EBS-backed. Questo perché il supporto EBS AMIs include istantanee dei volumi EBS che possono essere crittografate come descritto. Per ulteriori informazioni, consulta Utilizzare la crittografia con supporto EBS. AMIs

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Istantanee locali in Dedicated Local Zones

Come funziona la crittografia EBS