本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EBS 加密
使用 Amazon EBS 加密作為與 Amazon EBS 執行個體相關聯的 Amazon EC2 資源的直接加密解決方案。透過 Amazon EBS 加密,您不需要建置、維護和保護自己的金鑰管理基礎設施。Amazon EBS 加密在建立加密磁碟區和快照 AWS KMS keys 時使用。
加密操作會在託管 EC2 執行個體的伺服器上進行,以確保執行個體與其連接的 Word 儲存 data-in-transit體之間的 data-at-rest 和 EBS 安全。
您可以將加密和未加密磁碟區同時連接到執行個體。所有 Amazon EC2 執行個體類型都支援 Amazon EBS 加密。
目錄
加密 EBS 資源
您可以啟用加密來加密 EBS 磁碟區,方法是預設使用加密,或是在建立要加密的磁碟區時啟用加密。
當您加密磁碟區時,您可以指定用來加密磁碟區的對稱加密 KMS 金鑰。如果您未指定 KMS 金鑰,則用於加密的 KMS 金鑰取決於來源快照的加密狀態及其擁有權。如需詳細資訊,請參閱 加密結果表。
注意
如果您使用 API 或 AWS CLI 指定 KMS 金鑰,請注意 會以非同步方式 AWS 驗證 KMS 金鑰。如果您指定 KMS 金鑰 ID、別名或無效 ARN,則動作可能會看起來已完成,但最終會失敗。
您無法變更與現有快照或磁碟區相關聯的 KMS 金鑰。不過,您可以在快照複製操作期間關聯不同的 KMS 金鑰,以便產生的複製快照會由新的 KMS 金鑰加密。
在建立時加密空白磁碟區
當您建立新的空白 EBS 磁碟區時,您可以啟用特定磁碟區建立操作的加密來加密。如果您預設啟用 EBS 加密,磁碟區會使用預設的 KMS 金鑰自動加密,以進行 EBS 加密。或者,您可以為特定磁碟區建立操作指定不同的對稱加密 KMS 金鑰。磁碟區在第一次可用時即會加密,因此您的資料始終受到保護。如需詳細程序,請參閱建立 Amazon EBS 磁碟區。
根據預設,您在建立磁碟區時選取的 KMS 金鑰會加密您從磁碟區建立的快照,以及從這些加密快照還原的磁碟區。您無法從已加密磁碟區或快照移除加密,這表示從已加密快照還原的磁碟區,或已加密快照的複本「一律」加密。
雖然無法支援加密磁碟區的公有快照,但您可以和特定帳戶共享加密快照。如需詳細指示,請參閱 與其他 AWS 帳戶共用 Amazon EBS 快照。
加密未加密的資源
您無法直接加密現有的未加密磁碟區或快照。不過,您可以使用未加密的磁碟區或快照來建立加密的磁碟區或快照。如果您預設啟用加密,Amazon EBS 會使用預設的 KMS 金鑰自動加密新的磁碟區和快照,以進行 EBS 加密。否則,您可以在建立個別磁碟區或快照時啟用加密,使用 Amazon KMS 加密的預設 EBS 金鑰或對稱客戶受管加密金鑰。如需詳細資訊,請參閱 建立 Amazon EBS 磁碟區 和 複製 Amazon EBS 快照。
若要加密快照複本至客戶受管金鑰,您必須同時啟用加密並指定 KMS 金鑰,如 所示複製未加密快照 (未啟用預設加密)。
重要
Amazon EBS 不支援非對稱加密 KMS 金鑰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的使用對稱和非對稱加密 KMS 金鑰。
您也可以在從 EBS 後端 AMI 啟動執行個體時套用新的加密狀態。這是因為EBS背 AMIs 包含可按所述方式加密的 EBS 磁碟區的快照。如需詳細資訊,請參閱搭配使用加密與 EBS 支援的 AMIs。
