选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

亚马逊 Elastic Block Store (Amazon EBS) 的使用方式 AWS KMS

PDF
RSS
聚焦模式
亚马逊 Elastic Block Store (Amazon EBS) 的使用方式 AWS KMS - AWS Key Management Service
Amazon EBS 加密使用 KMS 密钥和数据密钥Amazon EBS 加密上下文检测 Amazon EBS 故障AWS CloudFormation 用于创建加密的 Amazon EBS 卷

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本主题详细讨论了 Amazon Elastic Block Store (Amazon EBS) 如何 AWS KMS 使用加密卷和快照。有关加密 Amazon EBS 卷的基本说明,请参阅 Amazon EBS 加密

Amazon EBS 加密

当您将加密的 Amazon EBS 卷连接到支持的亚马逊弹性计算云 (Amazon EC2) 实例类型时,该卷上的静态数据、磁盘 I/O 以及从该卷创建的快照都会被加密。加密发生在托管 Amazon EC2 实例的服务器上。

所有 Amazon EBS 卷类型都支持此功能。您可以像访问其他卷一样访问加密卷;加密和解密是透明处理的,无需您、您的 EC2 实例或应用程序采取任何其他操作。加密 卷的快照会自动加密,通过加密 快照创建的卷也会自动加密。

EBS 卷的加密状态在您创建该卷时就已经确定了。您不能更改现有卷的加密状态。但是,您可以在加密卷和未加密卷之间迁移数据,并在复制快照时应用新的加密状态。

默认情况下,Amazon EBS 支持可选加密。您可以在您和地区的所有新 EBS 卷和快照副本上自动启用加密。 AWS 账户 此配置设置不会影响现有卷或快照。有关详情,请参阅《亚马逊 EBS 用户指南》中的 Amazon EBS 加密

使用 KMS 密钥和数据密钥

当您创建一个加密的 Amazon EBS 卷时,您可以指定 AWS KMS key。默认情况下,Amazon EBS 将在您的账户 (aws/ebs) 中将 AWS 托管式密钥 Amazon EBS。不过,您可以指定自己创建和管理的客户托管的密钥

要使用客户托管的密钥,您必须向 Amazon EBS 授予代表您使用 KMS 密钥的权限。有关所需权限的列表,请参阅《亚马逊用户指南》或《亚马逊 EC2 用户指南》中的 I AM EC2 用户权限

重要

Amazon EBS 仅支持对称 KMS 密钥。不能使用非对称 KMS 密钥来加密 Amazon EBS 卷。要获取确定 KMS 密钥是对称还是非对称的帮助,请参阅 识别不同的密钥类型

对于每个卷,Amazon EBS 会要求 AWS KMS 生成一个使用您指定的 KMS 密钥加密的唯一数据密钥。Amazon EBS 使用该卷存储加密数据密钥。然后,当您将卷连接到 Amazon EC2 实例时,Amazon EBS 会调 AWS KMS 用解密数据密钥。Amazon EBS 使用管理程序内存中的明文数据密钥来加密卷的所有磁盘输入/输出。有关详情,请参阅《亚马逊 EC2 用户指南》或《亚马逊用户指南》中的 EBS 加密的工作原理。 EC2

Amazon EBS 加密上下文

在对的请求GenerateDataKeyWithoutPlaintext解密请求中, AWS KMS Amazon EBS 使用带有名称/值对的加密上下文,用于标识请求中的卷或快照。加密上下文中的名称不会发生变化。

加密上下文 是一组包含任意非机密数据的键值对。当您在加密数据的请求中包含加密上下文时,会以加密 AWS KMS 方式将加密上下文绑定到加密数据。要解密数据,您必须传入相同的加密上下文。

对于所有卷以及通过 Amazon EBS CreateSnapshot操作创建的加密快照,Amazon EBS 使用卷 ID 作为加密上下文值。在 CloudTrail 日志条目的 requestParameters 字段中,加密上下文类似于以下内容:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

对于通过亚马逊 EC2 CopySnapshot操作创建的加密快照,Amazon EBS 使用快照 ID 作为加密上下文值。在 CloudTrail 日志条目的 requestParameters 字段中,加密上下文类似于以下内容:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

检测 Amazon EBS 故障

要创建加密的 EBS 卷或将该卷附加到 EC2 实例,Amazon EBS 和亚马逊 EC2 基础设施必须能够使用您为 EBS 卷加密指定的 KMS 密钥。当 KMS 密钥不可用时—例如,当其密钥状态处于 Enabled 时—卷创建或卷附加操作将失败。

在这种情况下,Amazon EBS 会向亚马逊发送一个事件 EventBridge (以前称为 “ CloudWatch 事件”),以通知您有关失败的信息。在中 EventBridge,您可以建立触发自动操作以响应这些事件的规则。有关更多信息,请参阅《亚马逊 EC2 用户指南》中的 Amaz on Ebs CloudWatch 活动,尤其是以下部分:

要修复这些故障,请确保您为 EBS 卷加密指定的 KMS 密钥处于启用状态。为此,请先查看 KMS 密钥以确定其当前密钥状态(中的状态列 AWS Management Console)。然后,请参阅以下任一链接中的信息:

AWS CloudFormation 用于创建加密的 Amazon EBS 卷

您可以使用 AWS CloudFormation 创建加密的 Amazon EBS 卷。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的 AWS::EC2::Volume

本页内容

下一主题:

Amazon EMR

上一主题:

加密服务 AWS

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。