Como o Amazon Elastic Block Store (Amazon EBS) usa AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Este tópico discute em detalhes como o Amazon Elastic Block Store (Amazon EBS) usa AWS KMS para criptografar volumes e snapshots. Para obter instruções básicas sobre a criptografia de volumes do Amazon EBS, consulte Criptografia do Amazon EBS.

Criptografia de Amazon EBS

Quando você anexa um volume criptografado do Amazon EBS a um tipo de instância compatível do Amazon Elastic Compute Cloud EC2 (Amazon), os dados armazenados em repouso no volume, na E/S do disco e nos snapshots criados a partir do volume são todos criptografados. A criptografia ocorre nos servidores que hospedam as EC2 instâncias da Amazon.

Esse recurso tem suporte em todos os tipos de volume do Amazon EBS. Você acessa volumes criptografados da mesma forma que acessa outros volumes; a criptografia e a descriptografia são tratadas de forma transparente e não exigem nenhuma ação adicional de você, de sua EC2 instância ou de seu aplicativo. Snapshots de volumes criptografados são criptografados automaticamente, e os volumes que são criados dos snapshots criptografados também são criptografados automaticamente.

O status da criptografia de um volume do EBS é determinado quando você cria o volume. Não é possível alterar o status de criptografia de um volume existente. No entanto, você pode migrar dados entre os volumes criptografados e não criptografados, e aplicar um novo status de criptografia enquanto copia um snapshot.

Por padrão, o Amazon EBS é compatível com criptografia opcional. Você pode ativar a criptografia automaticamente em todos os novos volumes e cópias de snapshot do EBS na sua região Conta da AWS . Essa configuração não afeta volumes ou snapshots existentes. Para obter detalhes, consulte a criptografia do Amazon EBS no Guia do usuário do Amazon EBS.

Usar chaves do KMS e chaves de dados

Ao criar um volume do Amazon EBS criptografado, você especifica uma AWS KMS key. Por padrão, o Amazon EBS usa a Chave gerenciada pela AWS para o Amazon EBS na sua conta (aws/ebs). No entanto, você pode especificar uma chave gerenciada pelo cliente que você cria e gerencia.

Para usar uma chave gerenciada pelo cliente, você deve dar ao Amazon EBS a permissão para usar a chave do KMS em seu nome. Para obter uma lista das permissões necessárias, consulte Permissões para usuários do IAM no Guia do EC2 usuário da Amazon ou no Guia EC2 do usuário da Amazon.

Para cada volume, o Amazon EBS solicita AWS KMS a geração de uma chave de dados exclusiva criptografada sob a chave KMS que você especificar. O Amazon EBS armazena a chave de dados criptografada com o volume. Então, quando você anexa o volume a uma EC2 instância da Amazon, o Amazon EBS liga AWS KMS para descriptografar a chave de dados. O Amazon EBS usa a chave de dados em texto simples na memória do hipervisor para criptografar toda a E/S de disco no volume. Para obter detalhes, consulte Como a criptografia do EBS funciona no Guia do EC2 usuário da Amazon ou no Guia EC2 do usuário da Amazon.

Contexto de criptografia do Amazon EBS

Em suas solicitações GenerateDataKeyWithoutPlaintexte Decrypt para, o AWS KMS Amazon EBS usa um contexto de criptografia com um par de nome-valor que identifica o volume ou o snapshot na solicitação. O nome no contexto de criptografia não varia.

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Para todos os volumes e para snapshots criptografados criados com a CreateSnapshotoperação do Amazon EBS, o Amazon EBS usa o ID do volume como valor do contexto de criptografia. No campo requestParameters de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Para snapshots criptografados criados com a EC2 CopySnapshotoperação da Amazon, o Amazon EBS usa o ID do snapshot como valor de contexto de criptografia. No campo requestParameters de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Detectar falhas do Amazon EBS

Para criar um volume do EBS criptografado ou anexar o volume a uma EC2 instância, o Amazon EBS e a EC2 infraestrutura da Amazon devem ser capazes de usar a chave KMS que você especificou para a criptografia do volume do EBS. Quando a chave do KMS não pode ser utilizada, por exemplo, quando seu estado de chave não está Enabled, há falha na criação ou na anexação do volume.

Nesse caso, o Amazon EBS envia um evento para a Amazon EventBridge (antigo CloudWatch Events) para notificá-lo sobre a falha. Em EventBridge, você pode estabelecer regras que acionam ações automáticas em resposta a esses eventos. Para obter mais informações, consulte CloudWatch Eventos da Amazon para Amazon EBS no Guia EC2 do Usuário da Amazon, especialmente nas seguintes seções:

Para corrigir essas falhas, verifique se a chave do KMS especificada para criptografia do volume do EBS está habilitada. Para fazer isso, primeiro visualize a chave KMS para determinar o estado atual da chave (a coluna Status no AWS Management Console). Veja as informações em um dos links a seguir:

Usando AWS CloudFormation para criar volumes criptografados do Amazon EBS

Você pode usar o AWS CloudFormation para criar volumes criptografados do Amazon EBS. Consulte mais informações em AWS::EC2::Volume no Guia de Usuário AWS CloudFormation .