As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como a Amazon Elastic Block Store (AmazonEBS) usa AWS KMS

Este tópico discute em detalhes como o Amazon Elastic Block Store (AmazonEBS) usa AWS KMS para criptografar volumes e snapshots. Para obter instruções básicas sobre a criptografia de EBS volumes da Amazon, consulte Amazon EBS Encryption.

EBSCriptografia da Amazon

Quando você anexa um EBS volume criptografado da Amazon a um tipo de instância compatível do Amazon Elastic Compute Cloud (AmazonEC2), os dados armazenados em repouso no volume, na E/S do disco e nos snapshots criados a partir do volume são todos criptografados. A criptografia ocorre nos servidores que hospedam as EC2 instâncias da Amazon.

Esse recurso é compatível com todos os tipos de EBS volume da Amazon. Você acessa volumes criptografados da mesma forma que acessa outros volumes; a criptografia e a descriptografia são tratadas de forma transparente e não exigem nenhuma ação adicional de você, de sua EC2 instância ou de seu aplicativo. Snapshots de volumes criptografados são criptografados automaticamente, e os volumes que são criados dos snapshots criptografados também são criptografados automaticamente.

O status de criptografia de um EBS volume é determinado quando você cria o volume. Não é possível alterar o status de criptografia de um volume existente. No entanto, você pode migrar dados entre os volumes criptografados e não criptografados, e aplicar um novo status de criptografia enquanto copia um snapshot.

A Amazon EBS oferece suporte à criptografia opcional por padrão. Você pode ativar a criptografia automaticamente em todos os novos EBS volumes e cópias instantâneas na sua Conta da AWS região. Essa configuração não afeta volumes ou snapshots existentes. Para obter detalhes, consulte a EBScriptografia da Amazon no Guia EBS do usuário da Amazon.

Usando KMS chaves e chaves de dados

Ao criar um EBS volume criptografado da Amazon, você especifica um AWS KMS key. Por padrão, a Amazon EBS usa o Chave gerenciada pela AWSfor Amazon EBS em sua conta (aws/ebs). No entanto, você pode especificar uma chave gerenciada pelo cliente que você cria e gerencia.

Para usar uma chave gerenciada pelo cliente, você deve dar EBS permissão à Amazon para usar a KMS chave em seu nome. Para obter uma lista das permissões necessárias, consulte Permissões para IAM usuários no Guia do EC2usuário da Amazon ou no Guia EC2 do usuário da Amazon.

Para cada volume, a Amazon EBS solicita AWS KMS a geração de uma chave de dados exclusiva criptografada sob a KMS chave que você especificar. A Amazon EBS armazena a chave de dados criptografada com o volume. Então, quando você anexa o volume a uma EC2 instância da Amazon, a Amazon EBS liga AWS KMS para descriptografar a chave de dados. A Amazon EBS usa a chave de dados de texto simples na memória do hipervisor para criptografar toda a E/S do disco no volume. Para obter detalhes, consulte Como a EBS criptografia funciona no Guia do EC2usuário da Amazon ou no Guia EC2 do usuário da Amazon.

Contexto EBS de criptografia da Amazon

Em suas solicitações GenerateDataKeyWithoutPlaintexte Decrypt para, a AWS KMS Amazon EBS usa um contexto de criptografia com um par de nome-valor que identifica o volume ou o snapshot na solicitação. O nome no contexto de criptografia não varia.

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Para todos os volumes e para instantâneos criptografados criados com a EBS CreateSnapshotoperação da Amazon, a Amazon EBS usa o ID do volume como valor do contexto de criptografia. No requestParameters campo de uma entrada de CloudTrail registro, o contexto de criptografia é semelhante ao seguinte:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Para instantâneos criptografados criados com a EC2 CopySnapshotoperação da Amazon, a Amazon EBS usa o ID do instantâneo como valor do contexto de criptografia. No requestParameters campo de uma entrada de CloudTrail registro, o contexto de criptografia é semelhante ao seguinte:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Detectando falhas na Amazon EBS

Para criar um EBS volume criptografado ou anexar o volume a uma EC2 instância, a Amazon EBS e a EC2 infraestrutura da Amazon devem ser capazes de usar a KMS chave que você especificou para a criptografia EBS do volume. Quando a KMS chave não é utilizável, por exemplo, quando o estado da chave não é, a criação do volume ou Enabled a anexação do volume falham.

Nesse caso, a Amazon EBS envia um evento para a Amazon EventBridge (antigo CloudWatch Events) para notificá-lo sobre a falha. Em EventBridge, você pode estabelecer regras que acionam ações automáticas em resposta a esses eventos. Para obter mais informações, consulte CloudWatch Eventos da Amazon para a Amazon EBS no Guia EC2 do Usuário da Amazon, especialmente nas seguintes seções:

Para corrigir essas falhas, verifique se a KMS chave especificada para criptografia de EBS volume está ativada. Para fazer isso, primeiro visualize a KMS chave para determinar o estado atual da chave (a coluna Status no AWS Management Console). Veja as informações em um dos links a seguir:

Usando AWS CloudFormation para criar EBS volumes criptografados da Amazon

Você pode usar AWS CloudFormationpara criar EBS volumes criptografados da Amazon. Para obter mais informações, consulte AWS::EC2: :Volume no Guia do AWS CloudFormation Usuário.