Amazon EBS 加密

使用 Amazon EBS 加密作为与您的亚马逊实例关联的 Amazon EBS 资源的直接加密解决方案。 EC2 借助 Amazon EBS 加密，您无需构建、维护和保护自己的密钥管理基础设施。创建加密卷和快照时，Amazon EBS 加密使用 AWS KMS keys 。

加密操作发生在托管 EC2 实例的服务器上，从而确保两者的安全， data-at-rest以及实例 data-in-transit与其连接的 EBS 存储之间的安全。

您可以同时将加密卷和未加密卷附加到实例。所有亚马逊 EC2 实例类型都支持 Amazon EBS 加密。

内容

加密 EBS 资源

您可以通过启用加密来加密 EBS 卷：使用默认加密，或者在创建要加密的卷时启用加密。

加密卷时，可以指定用于加密该卷的对称加密 KMS 密钥。如果未指定 KMS 密钥，则用于加密的 KMS 密钥取决于源快照的加密状态及其所有权。有关更多信息，请参阅加密结果表。

注意

如果您正在使用 API 或 AWS CLI 指定 KMS 密钥，请注意这会异步对 KMS 密钥 AWS 进行身份验证。如果您指定了无效的 KMS 密钥 ID、别名或 ARN，则操作可能会显示完成，但最终失败。

您无法更改与现有快照或卷关联的 KMS 密钥。但是，您可在快照复制操作期间关联另一个 KMS 密钥，从而使生成的已复制快照由新 KMS 密钥进行加密。

在创建时加密空卷

创建新的空 EBS 卷时，可以通过为特定卷创建操作启用加密来对其进行加密。如果默认情况下启用了 EBS 加密，则会使用 EBS 加密的默认 KMS 密钥自动加密卷。您也可以为特定的卷创建操作指定不同的对称加密 KMS 密钥。卷从其首次可用时开始加密，因此您的数据始终安全。有关详细步骤，请参阅创建 Amazon EBS 卷。

默认情况下，您在创建卷时选择的 KMS 密钥会对从该卷拍摄的快照加密，并对从这些加密的快照还原的卷加密。您无法从加密卷或快照删除加密，这意味着从加密快照还原的卷或者加密快照的副本始终加密。

加密卷的快照无法公开，但您可以与特定账户共享加密快照。有关详细指导，请参阅与其他账户共享 Amazon EBS 快照 AWS。

加密未加密的资源

您无法直接加密现有未加密卷或快照。但是，您可以从未加密的卷或快照创建加密卷或快照。如果预设情况下启用加密，Amazon EBS 将使用 EBS 加密的原定设置 KMS 密钥自动加密新卷和快照。否则，您可以在创建单个卷或快照时启用加密，使用用于 Amazon EBS 加密的原定设置 KMS 密钥或对称客户管理加密密钥。有关更多信息，请参阅创建 Amazon EBS 卷和复制 Amazon EBS 快照。

要将快照副本加密到客户托管密钥，您必须同时启用加密并指定 KMS 密钥，如复制未加密的快照（未启用默认加密）中所示。

重要

Amazon EBS 不支持非对称加密 KMS 密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》中的使用对称和非对称加密 KMS 密钥。

在从由 EBS 支持的 AMI 启动实例时，您还可以应用新的加密状态。这是因为 EBS 支持的 AMIs 包含 EBS 卷的快照，这些快照可以按照描述进行加密。有关更多信息，请参阅在 EBS AMIs 支持下使用加密。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

专用 Local Zones 中的本地快照

EBS 加密的工作原理