Amazon EBS 加密的需求 - Amazon EBS
支援的磁碟區類型支援的執行個體類型 使用者的許可執行個體的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EBS 加密的需求

開始之前,請確認符合下列要求。

支援的磁碟區類型

所有 EBS 磁碟區類型皆支援加密。您可以預期加密磁碟區和未加密磁碟區皆具有相同的 IOPS 效能,其對延遲僅會有最小程度的影響。您可以使用存取未加密磁碟區的相同方式存取加密磁碟區。加密和解密的處理過程皆相當透明,且無須您或您的應用程式進行任何額外動作。

支援的執行個體類型

Amazon EBS 加密適用於所有目前世代上一世代的執行個體類型。

使用者的許可

當您使用 KMS 金鑰進行 EBS 加密時,KMS 金鑰政策允許任何可存取必要 AWS KMS 動作的使用者使用此 KMS 金鑰來加密或解密 EBS 資源。您必須授予使用者呼叫下列動作的許可,才能使用 EBS 加密:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

提示

若要遵循最低權限原則人,請勿允許 kms:CreateGrant 的完整存取。反之,使用 kms:GrantIsForAWSResource 條件索引鍵,僅允許使用者在 KMS 索引鍵上建立授予時,才由 AWS 服務代使用者建立授予,如下列範例所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的允許存取 AWS 帳戶並啟用預設金鑰政策》中的 IAM 政策一節。

執行個體的許可

當執行個體嘗試與加密的 AMI、磁碟區或快照進行互動,系統會向執行個體的僅限身分識別角色發放 KMS 金鑰權限。僅限身分識別角色是一種 IAM 角色,可讓執行個體用來代表您與加密的 AMI、磁碟區或快照互動。

僅限身分識別的角色不需要手動建立或刪除,也沒有相關聯的政策。此外,您無法存取僅限身分識別的角色憑證。

注意

執行個體上的應用程式不會使用僅限身分角色來存取其他 AWS KMS 加密資源,例如 Amazon S3 物件或 Dynamo DB資料表。這些操作會使用 Amazon EC2 執行個體角色的登入資料,或您在執行個體上設定的其他 AWS 登入資料來完成。

僅限身分識別的角色受到服務控制政策 (SCP) 和 KMS 金鑰政策的約束。如果 SCP 或 KMS 金鑰拒絕僅限身分角色存取 KMS 金鑰,您可能無法啟動具有加密磁碟區的 EC2 執行個體,或使用加密的 AMI 或快照。

如果您要建立 SCP 或金鑰政策,以根據使用 aws:SourceIpaws:SourceVpcaws:VpcSourceIpaws:SourceVpce AWS 全域條件金鑰的網路位置拒絕存取,則必須確保這些政策陳述式不適用於僅限執行個體的角色。如需範例政策,請參閱資料周邊政策範例

僅限身分識別的角色 ARN 使用下列格式:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

將金鑰權限發給執行個體時,金鑰權限會發給該執行個體專屬的擔任角色工作階段。承授者主體 ARN 使用下列格式:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id