本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密存放在 Amazon 磁碟EBS區中的資料 ECS
您可以使用 AWS Key Management Service (AWS KMS) 來建立和管理保護資料的密碼編譯金鑰。Amazon EBS磁碟區會使用 進行靜態加密 AWS KMS keys。下列資料類型會加密:
-
磁碟區上靜態存放的資料
-
磁碟 I/O
-
從磁碟區建立的快照
-
從快照建立的新磁碟區
您可以預設設定 Amazon EBS加密,以便使用您為帳戶設定的KMS金鑰來加密建立和連接至任務的所有新磁碟區。如需預設 Amazon EBS加密和加密的詳細資訊,請參閱 Amazon EC2使用者指南 中的 Amazon EBS加密。
連接至任務的 Amazon EBS磁碟區可以使用預設值 AWS 受管金鑰 與別名 alias/aws/ebs或對稱客戶受管金鑰進行加密。 AWS 帳戶 每個 的預設值 AWS 受管金鑰 都是唯一的 AWS 區域 ,且會自動建立。若要建立對稱客戶受管金鑰,請遵循AWS KMS 開發人員指南 中的建立對稱加密KMS金鑰中的步驟。
客戶受管KMS金鑰政策
若要使用客戶受管金鑰加密連接至任務的EBS磁碟區,您必須設定KMS金鑰政策,以確保您用於磁碟區組態IAM的角色具有使用金鑰的必要許可。金鑰政策必須包含 kms:CreateGrant和 kms:GenerateDataKey*許可。kms:ReEncryptTo 和 kms:ReEncryptFrom許可對於加密使用快照建立的磁碟區是必要的。如果只想要設定和加密新的空白磁碟區以供連接,您可以排除 kms:ReEncryptTo和 kms:ReEncryptFrom許可。
下列程式碼JSON片段顯示您可以連接至金鑰政策的KMS金鑰政策陳述式。使用這些陳述式將提供 的存取權ECS,以使用 金鑰來加密EBS磁碟區。若要使用範例政策陳述式,請將 取代user input placeholders
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:DescribeKey", "Resource":"*" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": [ "kms:GenerateDataKey*", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:CreateGrant", "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" }, "Bool": { "kms:GrantIsForAWSResource": true } } }
如需有關金鑰政策和許可的詳細資訊,請參閱 AWS KMS 開發人員指南 中的金鑰政策 AWS KMS 和 AWS KMS 許可。如需針對與金鑰許可相關的EBS磁碟區連接問題進行疑難排解,請參閱 對 Amazon ECS任務的 Amazon EBS磁碟區附件進行故障診斷 。
