本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EBS 加密示例
创建加密 EBS 资源时,除非您在卷创建参数或 AMI 或实例的块设备映射中指定了不同的 客户托管密钥,否则它将使用您账户的用于 EBS 加密的默认 KMS 密钥 进行加密。
以下示例说明如何管理卷和快照的加密状态。有关加密案例的完整列表,请参阅加密结果表。
示例
还原未加密的卷(未启用默认加密)
未启用默认加密时,从未加密快照还原的卷在默认情况下不加密。但是,您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的卷。下图说明了该过程。
如果您省略 KmsKeyId 参数,则将使用您用于 EBS 加密的默认 KMS 密钥 加密生成的卷。您必须指定 KMS 密钥 ID 以使用不同的 KMS 密钥 加密卷。
有关更多信息,请参阅 创建 Amazon EBS 卷。
还原未加密的卷(启用了默认加密)
在您启用了默认加密时,从未加密快照还原的卷必须加密,无需使用默认 KMS 密钥 的加密参数。下图说明了这种简单默认案例:
如果您要使用对称客户管理加密密钥来加密还原的卷,则必须提供 Encrypted 和 KmsKeyId 参数,如 还原未加密的卷(未启用默认加密) 中所示。
复制未加密的快照(未启用默认加密)
未启用默认加密时,未加密快照的副本在默认情况下不加密。但是,您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的快照。如果省略 KmsKeyId,则使用默认 KMS 密钥 加密生成的快照。您必须指定 KMS 密钥 ID 以使用不同的对称加密 KMS 密钥对卷进行加密。
下图说明了该过程。
您可以将未加密的快照复制到加密的快照,然后从加密的快照中创建卷来加密 EBS 卷。有关更多信息,请参阅复制 Amazon EBS 快照。
复制未加密的快照(启用了默认加密)
在您启用了默认加密时,未加密快照的副本必须加密,无需使用默认 KMS 密钥 的加密参数。下图说明了这种默认情况:
重新加密已加密卷
对加密快照执行 CreateVolume 操作时,您可以选择使用不同的 KMS 密钥 重新加密它。下图说明了该过程。在本例中,您拥有两个 KMS 密钥,即 KMS 密钥 A 和 KMS 密钥 B。源快照由 KMS 密钥 A 加密。在卷创建期间,由于 KMS 密钥 B 的 KMS 密钥 ID 被指定为一个参数,因此源数据被自动解密,然后由 KMS 密钥 B 重新加密。
有关更多信息,请参阅 创建 Amazon EBS 卷。
重新加密已加密快照
由于能够在复制过程中加密快照,您可以将新的对称加密 KMS 密钥应用于您拥有的已加密过的快照。从生成的副本还原的卷只能使用新的 KMS 密钥 进行访问。下图说明了该过程。在本例中,您拥有两个 KMS 密钥,即 KMS 密钥 A 和 KMS 密钥 B。源快照由 KMS 密钥 A 加密。在复制期间,由于 KMS 密钥 B 的 KMS 密钥 ID 被指定为一个参数,因此源数据由 KMS 密钥 B 自动重新加密。
在相关的场景中,您可以选择将新加密参数应用于已与您共享的快照的副本。默认情况下,系统会使用快照拥有者共享的 KMS 密钥 对该副本进行加密。但是,我们建议您使用您控制的其他 KMS 密钥 创建共享快照的副本。这样,即使原始 KMS 密钥 遭到泄露或拥有者出于任何原因撤销了 KMS 密钥,您也不会失去对卷的访问权限。有关更多信息,请参阅加密和快照复制。
在加密卷与未加密卷之间迁移数据
当您可以访问加密卷和未加密卷时,可以在它们之间自由传输数据。 EC2 透明地执行加密和解密操作。
例如,使用 rsync 命令复制数据。在以下命令中,源数据位于 /mnt/source 中,目标卷挂载在 /mnt/destination 中。
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
例如,使用 robocopy 命令复制数据。在以下命令中,源数据位于 D:\ 中,目标卷挂载在 E:\ 中。
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
我们建议使用文件夹而不是复制整个卷,因为这可避免隐藏文件夹的潜在问题。
加密结果
下表描述了每种可能的设置组合的加密结果。
| 是否已启用加密? | 默认启用加密? | 卷来源 | 默认值(未指定客户托管密钥) | 自定义(指定客户托管密钥) |
|---|---|---|---|---|
| 否 | 否 | 新(空)卷 | 未加密 | 不适用 |
| 否 | 否 | 您拥有的未加密快照 | 未加密 | |
| 否 | 否 | 您拥有的加密快照 | 按相同密钥加密 | |
| 否 | 否 | 与您共享的未加密快照 | 未加密 | |
| 否 | 否 | 与您共享的加密快照 | 由默认客户托管密钥加密* | |
| 是 | 否 | 新卷 | 由默认客户托管密钥加密 | 由指定的客户托管密钥加密** |
| 是 | 否 | 您拥有的未加密快照 | 由默认客户托管密钥加密 | |
| 是 | 否 | 您拥有的加密快照 | 按相同密钥加密 | |
| 是 | 否 | 与您共享的未加密快照 | 由默认客户托管密钥加密 | |
| 是 | 否 | 与您共享的加密快照 | 由默认客户托管密钥加密 | |
| 否 | 是 | 新(空)卷 | 由默认客户托管密钥加密 | 不适用 |
| 否 | 是 | 您拥有的未加密快照 | 由默认客户托管密钥加密 | |
| 否 | 是 | 您拥有的加密快照 | 按相同密钥加密 | |
| 否 | 是 | 与您共享的未加密快照 | 由默认客户托管密钥加密 | |
| 否 | 是 | 与您共享的加密快照 | 由默认客户托管密钥加密 | |
| 是 | 是 | 新卷 | 由默认客户托管密钥加密 | 由指定的客户托管密钥加密 |
| 是 | 是 | 您拥有的未加密快照 | 由默认客户托管密钥加密 | |
| 是 | 是 | 您拥有的加密快照 | 按相同密钥加密 | |
| 是 | 是 | 与您共享的未加密快照 | 由默认客户托管密钥加密 | |
| 是 | 是 | 与您共享的加密快照 | 由默认客户托管密钥加密 |
* 这是用于 AWS 账户和地区的 EBS 加密的默认客户托管密钥。默认情况下,这是 EBS AWS 托管式密钥 的唯一密钥,或者您可以指定客户托管密钥。
**这是在启动时为卷指定的客户托管密钥。使用此客户托管密钥代替 AWS 账户和地区的默认客户托管密钥。
