Como funciona a EBS criptografia da Amazon - Amazon EBS
Como a EBS criptografia funciona quando o instantâneo é criptografadoComo a EBS criptografia funciona quando o instantâneo não é criptografadoComo as chaves inutilizáveis afetam KMS as chaves de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a EBS criptografia da Amazon

Você pode criptografar os volumes de inicialização e de dados de uma EC2 instância.

Quando você cria um EBS volume criptografado e o anexa a um tipo de instância compatível, os seguintes tipos de dados são criptografados:

  • Dados em repouso dentro do volume

  • Todos os dados que são movidos entre o volume e a instância

  • Todos os snapshots criados a partir do volume

  • Todos os volumes criados a partir desses snapshots

A Amazon EBS criptografa seu volume com uma chave de dados usando a criptografia de dados -256 padrão do setorAES. A chave de dados é gerada AWS KMS e depois criptografada AWS KMS com uma AWS KMS chave antes de ser armazenada com as informações do volume. A Amazon cria EBS automaticamente um recurso exclusivo Chave gerenciada pela AWS em cada região em que você cria EBS recursos da Amazon. O alias da KMS chave éaws/ebs. Por padrão, a Amazon EBS usa essa KMS chave para criptografia. Ou então, você pode usar uma chave de criptografia simétrica gerenciada pelo cliente criada por você. Usar sua própria KMS chave oferece mais flexibilidade, incluindo a capacidade de criar, girar e desativar KMS chaves.

A Amazon EC2 trabalha com ela AWS KMS para criptografar e descriptografar seus EBS volumes de maneiras ligeiramente diferentes, dependendo se o snapshot a partir do qual você cria um volume criptografado é criptografado ou não criptografado.

Como a EBS criptografia funciona quando o instantâneo é criptografado

Quando você cria um volume criptografado a partir de um snapshot criptografado que você possui, a Amazon EC2 trabalha AWS KMS para criptografar e descriptografar seus volumes da seguinte forma: EBS

  1. EC2A Amazon envia uma GenerateDataKeyWithoutPlaintextsolicitação para AWS KMS, especificando a KMS chave que você escolheu para criptografia de volume.

  2. Se o volume for criptografado usando a mesma KMS chave do instantâneo, AWS KMS usará a mesma chave de dados do instantâneo e o criptografará com a mesma chave. KMS Se o volume for criptografado usando uma KMS chave diferente, AWS KMS gera uma nova chave de dados e a criptografa sob a KMS chave que você especificou. A chave de dados criptografada é enviada à Amazon EBS para ser armazenada com os metadados do volume.

  3. Quando você anexa o volume criptografado a uma instância, a Amazon EC2 envia uma CreateGrantsolicitação para AWS KMS que ela possa descriptografar a chave de dados.

  4. AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada para a Amazon. EC2

  5. A Amazon EC2 usa a chave de dados de texto simples no hardware Nitro para criptografar a E/S do disco no volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.

Como a EBS criptografia funciona quando o instantâneo não é criptografado

Quando você cria um volume criptografado a partir de um snapshot não criptografado, a Amazon EC2 trabalha com ele AWS KMS para criptografar e descriptografar seus volumes da seguinte forma: EBS

  1. EC2A Amazon envia uma CreateGrantsolicitação para AWS KMS, para que possa criptografar o volume criado a partir do snapshot.

  2. EC2A Amazon envia uma GenerateDataKeyWithoutPlaintextsolicitação para AWS KMS, especificando a KMS chave que você escolheu para criptografia de volume.

  3. AWS KMS gera uma nova chave de dados, a criptografa com a KMS chave que você escolheu para criptografia de volume e envia a chave de dados criptografada para a Amazon EBS para ser armazenada com os metadados do volume.

  4. EC2A Amazon envia uma solicitação Decrypt para AWS KMS descriptografar a chave de dados criptografada, que depois é usada para criptografar os dados do volume.

  5. Quando você anexa o volume criptografado a uma instância, a Amazon EC2 envia uma CreateGrantsolicitação para AWS KMS que ela possa descriptografar a chave de dados.

  6. Quando você anexa o volume criptografado a uma instância, a Amazon EC2 envia uma solicitação Decrypt para AWS KMS, especificando a chave de dados criptografada.

  7. AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada para a Amazon. EC2

  8. A Amazon EC2 usa a chave de dados de texto simples no hardware Nitro para criptografar a E/S do disco no volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.

Para obter mais informações, consulte Como o Amazon Elastic Block Store (AmazonEBS) usa AWS KMS e o segundo EC2 exemplo da Amazon no Guia do AWS Key Management Service desenvolvedor.

Como as chaves inutilizáveis afetam KMS as chaves de dados

Quando uma KMS chave se torna inutilizável, o efeito é quase imediato (sujeito a uma eventual consistência). O estado da KMS chave muda para refletir sua nova condição, e todas as solicitações para usar a KMS chave em operações criptográficas falham.

Quando você executa uma ação que torna a KMS chave inutilizável, não há efeito imediato na EC2 instância ou nos volumes EBS anexados. A Amazon EC2 usa a chave de dados, não a KMS chave, para criptografar toda a E/S do disco enquanto o volume está conectado à instância.

No entanto, quando o EBS volume criptografado é separado da EC2 instância, a Amazon EBS remove a chave de dados do hardware Nitro. Na próxima vez que o EBS volume criptografado for anexado a uma EC2 instância, o anexo falhará, porque a Amazon EBS não pode usar a KMS chave para descriptografar a chave de dados criptografada do volume. Para usar o EBS volume novamente, você deve tornar a KMS tecla utilizável novamente.

dica

Se você não quiser mais acessar os dados armazenados em um EBS volume criptografado com uma chave de dados gerada a partir de uma KMS chave que você pretende tornar inutilizável, recomendamos que você desanexe o EBS volume da EC2 instância antes de tornar a KMS chave inutilizável.

Para obter mais informações, consulte Como as chaves inutilizáveis afetam KMS as chaves de dados no Guia do AWS Key Management Service desenvolvedor.