As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Requisitos para a EBS criptografia da Amazon

Antes de começar, verifique se os seguintes requisitos foram atendidos.

Tipos de volume compatíveis

A criptografia é compatível com todos os tipos de EBS volume. Você pode esperar o mesmo IOPS desempenho em volumes criptografados e em volumes não criptografados, com um efeito mínimo na latência. É possível acessar volumes criptografados da mesma forma que acessa volumes não criptografados. A criptografia e a descriptografia são tratadas de forma transparente e não requerem nenhuma ação adicional de sua parte e de suas aplicações.

Tipos de instâncias compatíveis

A EBS criptografia da Amazon está disponível em todos os tipos de instância da geração atual e da geração anterior.

Permissões para usuário

Quando você usa uma KMS chave para EBS criptografia, a política de KMS chaves permite que qualquer usuário com acesso às AWS KMS ações necessárias use essa KMS chave para criptografar ou EBS descriptografar recursos. Você deve conceder permissão aos usuários para chamar as seguintes ações para usar a EBS criptografia:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Para obter mais informações, consulte Permite acesso à AWS conta e ativa IAM políticas na seção Política de chaves padrão no Guia do AWS Key Management Service desenvolvedor.

Permissões para instâncias

Quando uma instância tenta interagir com uma criptografiaAMI, volume ou snapshot, uma concessão de KMS chave é emitida para a função exclusiva de identidade da instância. A função somente de identidade é usada pela instância para interagir com dados criptografadosAMIs, volumes ou instantâneos em seu nome. IAM

Os perfis somente de identidade não precisam ser criados ou excluídos manualmente e não possuem políticas associadas a eles. Além disso, não é possível acessar as credenciais do perfil somente de identidade.

As funções somente de identidade estão sujeitas às políticas de controle de serviço (SCPs) e às políticas KMSprincipais. Se uma KMS chave SCP ou negar à função somente de identidade o acesso a uma KMS chave, você pode deixar de iniciar EC2 instâncias com volumes criptografados ou usando criptografia ou instantâneos. AMIs

Se você estiver criando uma política SCP ou chave que nega o acesso com base na localização da rede usando as chaves de condição aws:SourceIp aws:VpcSourceIpaws:SourceVpc,,, ou aws:SourceVpce AWS globais, certifique-se de que essas declarações de política não se apliquem às funções somente de instância. Para obter exemplos de políticas, consulte Exemplos de políticas de perímetros de dados.

A função somente de identidade ARNs usa o seguinte formato:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Quando uma concessão de chave é emitida para uma instância, a concessão de chave é emitida para a sessão do perfil assumido específica dessa instância. O principal beneficiário ARN usa o seguinte formato:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id