Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di EBS crittografia Amazon
Quando si crea una EBS risorsa crittografata, questa viene crittografata mediante la KMS chiave di EBS crittografia predefinita dell'account, a meno che non si specifichi una chiave gestita dal cliente diversa nei parametri di creazione del volume o nella mappatura dei dispositivi a blocchi per l'istanza AMI or.
I seguenti esempi illustrano come gestire lo stato di crittografia dei volumi e degli snapshot. Per un elenco completo dei casi di crittografia, consulta la tabella dei risultati di crittografia.
Esempi
- Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
- Ripristinare un volume non crittografato (crittografia predefinita abilitata)
- Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
- Copiare una snapshot non crittografata (crittografia predefinita abilitata)
- Nuova crittografia di un volume crittografato
- Nuova crittografia di uno snapshot crittografato
- Migrazione dei dati tra volumi crittografati e non crittografati
- Risultati della crittografia
Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, un volume ripristinato da uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare il volume risultante impostando il parametro Encrypted e, facoltativamente, il parametro KmsKeyId. Il diagramma seguente illustra il processo.
Se omettete il KmsKeyId parametro, il volume risultante viene crittografato utilizzando la KMS chiave di EBS crittografia predefinita. È necessario specificare un ID di KMS chiave per crittografare il volume su una KMS chiave diversa.
Per ulteriori informazioni, consulta Crea un EBS volume Amazon.
Ripristinare un volume non crittografato (crittografia predefinita abilitata)
Se la crittografia è abilitata per impostazione predefinita, la crittografia è obbligatoria per i volumi ripristinati da istantanee non crittografate e non sono necessari parametri di crittografia per utilizzare la KMS chiave predefinita. Il seguente diagramma mostra questo semplice caso predefinito:
Se desideri crittografare il volume ripristinato in una chiave di crittografia simmetrica gestita dal cliente, devi fornire entrambi i parametri Encrypted e KmsKeyId come riportato in Ripristinare un volume non crittografato (crittografia predefinita non abilitata).
Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, una copia di uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare lo snapshot risultante impostando il parametro Encrypted e, facoltativamente, il parametro KmsKeyId. Se si ometteKmsKeyId, l'istantanea risultante viene crittografata con la chiave predefinita. KMS È necessario specificare un ID di KMS chiave per crittografare il volume con una chiave di crittografia simmetrica diversa. KMS
Il diagramma seguente illustra il processo.
È possibile crittografare un EBS volume copiando un'istantanea non crittografata in un'istantanea crittografata e quindi creando un volume dall'istantanea crittografata. Per ulteriori informazioni, consulta Copia uno EBS snapshot Amazon.
Copiare una snapshot non crittografata (crittografia predefinita abilitata)
Se la crittografia è abilitata per impostazione predefinita, la crittografia è obbligatoria per le copie di istantanee non crittografate e non sono richiesti parametri di crittografia se viene utilizzata la chiave predefinita. KMS Nel seguente diagramma viene illustrato questo caso predefinito:
Nuova crittografia di un volume crittografato
Quando l'CreateVolumeazione viene eseguita su un'istantanea crittografata, è possibile ricrittografarla con una chiave diversa. KMS Il diagramma seguente illustra il processo. In questo esempio, possiedi due KMS chiavi, la KMS chiave A e la KMS chiave B. L'istantanea di origine viene crittografata dalla KMS chiave A. Durante la creazione del volume, con l'ID della KMS KMS chiave B specificato come parametro, i dati di origine vengono automaticamente decrittografati, quindi ricrittografati dalla chiave B. KMS
Per ulteriori informazioni, consulta Crea un EBS volume Amazon.
Nuova crittografia di uno snapshot crittografato
La possibilità di crittografare un'istantanea durante la copia consente di applicare una nuova KMS chiave di crittografia simmetrica a un'istantanea già crittografata di cui si è proprietari. I volumi ripristinati dalla copia risultante sono accessibili solo utilizzando la nuova chiave. KMS Il diagramma seguente illustra il processo. In questo esempio, si possiede due KMS chiavi, la KMS chiave A e la KMS chiave B. L'istantanea di origine viene crittografata dalla KMS chiave A. Durante la copia, con l'ID della KMS KMS chiave B specificato come parametro, i dati di origine vengono automaticamente ricrittografati dalla KMS chiave B.
In uno scenario correlato, puoi scegliere di applicare nuovi parametri di crittografia a una copia di uno snapshot che è stato condiviso con te. Per impostazione predefinita, la copia è crittografata con una KMS chiave condivisa dal proprietario dell'istantanea. Tuttavia, ti consigliamo di creare una copia dell'istantanea condivisa utilizzando una KMS chiave diversa da te controllata. Ciò protegge l'accesso al volume se la KMS chiave originale è compromessa o se il proprietario la revoca per qualsiasi motivoKMS. Per ulteriori informazioni, consulta Crittografia e copia di snapshot.
Migrazione dei dati tra volumi crittografati e non crittografati
Quando hai accesso sia a un volume crittografato sia a uno non crittografato, puoi trasferire liberamente i dati tra loro. EC2esegue le operazioni di crittografia e decrittografia in modo trasparente.
Ad esempio il comando rsync consente di copiare i dati. Nel comando seguente i dati di origine si trovano in /mnt/source e il volume di destinazione è montato su /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Ad esempio il comando robocopy consente di copiare i dati. Nel comando seguente i dati di origine si trovano in D:\ e il volume di destinazione è montato su E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Consigliamo di utilizzare le cartelle anziché copiare un intero volume per evitare potenziali problemi con le cartelle nascoste.
Risultati della crittografia
La seguente tabella descrive il risultato della crittografia per ogni possibile combinazione di impostazioni.
| La crittografia EBS è abilitata? | La crittografia predefinita è abilitata? | Fonte del volume | Impostazione predefinita (nessuna chiave gestita dal cliente specificata) | Personalizzato (chiave gestita dal cliente specificata) |
|---|---|---|---|---|
| No | No | Nuovo volume (vuoto) | Non crittografato | N/A |
| No | No | Snapshot non crittografato di tua proprietà | Non crittografato | |
| No | No | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| No | No | Snapshot non crittografato condiviso con te | Non crittografato | |
| No | No | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita* | |
| Sì | No | Nuovo volume | Crittografato con chiave gestita dal cliente predefinita | Crittografato con una chiave gestita dal cliente specificata** |
| Sì | No | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | No | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| Sì | No | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | No | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Nuovo volume (vuoto) | Crittografato con chiave gestita dal cliente predefinita | N/A |
| No | Sì | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| No | Sì | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Nuovo volume | Crittografato con chiave gestita dal cliente predefinita | Crittografato con una chiave gestita dal cliente specificata |
| Sì | Sì | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| Sì | Sì | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita |
* Questa è la chiave predefinita gestita dal cliente utilizzata per la EBS crittografia dell' AWS account e della regione. Per impostazione predefinita, si tratta di una chiave univoca Chiave gestita da AWS perEBS, oppure è possibile specificare una chiave gestita dal cliente.
** Si tratta di una chiave gestita dal cliente specificata per il volume al momento dell'avvio. Questa chiave gestita dal cliente viene utilizzata al posto della chiave gestita dal cliente predefinita per l' AWS account e la regione.
