Come funziona EBS la crittografia Amazon - Amazon EBS
Come funziona la EBS crittografia quando l'istantanea è crittografataCome funziona la EBS crittografia quando l'istantanea non è crittografataIn che modo le chiavi inutilizzabili influiscono sulle KMS chiavi dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona EBS la crittografia Amazon

È possibile crittografare sia il volume di avvio che quello di dati di un'EC2istanza.

Quando si crea un EBS volume crittografato e lo si collega a un tipo di istanza supportato, vengono crittografati i seguenti tipi di dati:

  • Dati inattivi all'interno del volume.

  • Tutti i dati in movimento tra il volume e l'istanza.

  • Tutti gli snapshot creati dal volume

  • Tutti i volumi creati da quegli snapshot

Amazon EBS crittografa il volume con una chiave dati utilizzando la crittografia dei dati -256 standard del settoreAES. La chiave dati viene generata AWS KMS e quindi crittografata AWS KMS con una AWS KMS chiave prima di essere archiviata con le informazioni sul volume. Amazon ne crea EBS automaticamente una unica Chiave gestita da AWS in ogni regione in cui crei EBS risorse Amazon. L'alias per la KMS chiave èaws/ebs. Per impostazione predefinita, Amazon EBS utilizza questa KMS chiave per la crittografia. In alternativa, puoi utilizzare una chiave di crittografia simmetrica gestita dal cliente che crei tu stesso. L'utilizzo della propria KMS chiave offre maggiore flessibilità, inclusa la possibilità di creare, ruotare e disabilitare le chiavi. KMS

Amazon EC2 utilizza AWS KMS per crittografare e decrittografare i EBS volumi in modi leggermente diversi a seconda che l'istantanea da cui si crea un volume crittografato sia crittografata o meno.

Come funziona la EBS crittografia quando l'istantanea è crittografata

Quando crei un volume crittografato da uno snapshot crittografato di tua proprietà, Amazon EC2 collabora con Amazon AWS KMS per crittografare e decrittografare i tuoi EBS volumi nel modo seguente:

  1. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la KMS chiave che hai scelto per la crittografia del volume.

  2. Se il volume è crittografato utilizzando la stessa KMS chiave dell'istantanea, AWS KMS utilizza la stessa chiave di dati dell'istantanea e la cripta con la stessa chiave. KMS Se il volume è crittografato utilizzando una KMS chiave diversa, AWS KMS genera una nuova chiave dati e la crittografa con la KMS chiave specificata. La chiave dati crittografata viene inviata ad Amazon EBS per essere archiviata con i metadati del volume.

  3. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS in modo che possa decrittografare la chiave dati.

  4. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon. EC2

  5. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare l'I/O del disco sul volume. La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza.

Come funziona la EBS crittografia quando l'istantanea non è crittografata

Quando crei un volume crittografato da uno snapshot non crittografato, Amazon EC2 collabora AWS KMS per crittografare e decrittografare i volumi nel modo seguente: EBS

  1. Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa crittografare il volume creato dallo snapshot.

  2. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la KMS chiave che hai scelto per la crittografia del volume.

  3. AWS KMS genera una nuova chiave dati, la crittografa con la KMS chiave che hai scelto per la crittografia del volume e invia la chiave dati crittografata EBS ad Amazon per essere archiviata con i metadati del volume.

  4. Amazon EC2 invia una richiesta Decrypt per AWS KMS decrittografare la chiave dati crittografata, che poi utilizza per crittografare i dati del volume.

  5. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa decrittografare la chiave dati.

  6. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una richiesta Decrypt a AWS KMS, specificando la chiave dati crittografata.

  7. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon. EC2

  8. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare l'I/O del disco sul volume. La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza.

Per ulteriori informazioni, consulta Come utilizza Amazon Elastic Block Store (AmazonEBS) AWS KMS e il secondo EC2 esempio di Amazon nella AWS Key Management Service Developer Guide.

In che modo le chiavi inutilizzabili influiscono sulle KMS chiavi dati

Quando una KMS chiave diventa inutilizzabile, l'effetto è quasi immediato (soggetto alla coerenza finale). Lo stato della KMS chiave cambia in base alla nuova condizione e tutte le richieste di utilizzo della KMS chiave nelle operazioni crittografiche hanno esito negativo.

Quando si esegue un'azione che rende la KMS chiave inutilizzabile, non vi è alcun effetto immediato sull'EC2istanza o sui volumi collegatiEBS. Amazon EC2 utilizza la chiave dati, non la KMS chiave, per crittografare tutti gli I/O del disco mentre il volume è collegato all'istanza.

Tuttavia, quando il EBS volume crittografato viene scollegato dall'EC2istanza, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il EBS volume crittografato viene collegato a un'EC2istanza, l'allegato non riesce perché Amazon EBS non può utilizzare la KMS chiave per decrittografare la chiave dati crittografata del volume. Per utilizzare nuovamente il EBS volume, devi rendere nuovamente utilizzabile la KMS chiave.

Suggerimento

Se non desideri più accedere ai dati archiviati in un EBS volume crittografato con una chiave dati generata da una KMS chiave che intendi rendere inutilizzabile, ti consigliamo di scollegare il EBS volume dall'EC2istanza prima di rendere la KMS chiave inutilizzabile.

Per ulteriori informazioni, consulta Come le chiavi inutilizzabili influiscono sulle KMS chiavi di dati nella Guida per gli sviluppatori.AWS Key Management Service