本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EBS 加密範例
當您建立加密的 EBS 資源時,除非您在磁碟區建立參數或 KMS 或執行個體的區塊型裝置映射中指定不同的客戶受管金鑰,否則系統會使用您帳戶的預設 EBS 金鑰進行 AMI 加密。
下列範例說明如何管理您磁碟區和快照的加密狀態。如需加密案例的完整清單,請參閱 加密結果表。
範例
還原未加密磁碟區 (未啟用預設加密)
若未啟用預設加密,從未加密快照還原的磁碟區預設為未加密。不過,您可以設定 Encrypted 參數,並選擇性地設定 KmsKeyId 參數,來加密產生的磁碟區。下圖說明此程序。
如果您離開 KmsKeyId 參數,產生的磁碟區會使用預設的 KMS 金鑰進行 EBS 加密。您必須指定 KMS 金鑰 ID,將磁碟區加密為不同的 KMS 金鑰。
如需詳細資訊,請參閱建立 Amazon EBS 磁碟區。
還原未加密磁碟區 (已啟用預設加密)
當您預設啟用加密時,從未加密快照還原的磁碟區必須進行加密,而且要使用預設的 KMS 金鑰不需要加密參數。下圖顯示這個簡單的預設案例:
如果想要將還原的磁碟區加密為對稱的客戶受管加密金鑰,則您必須同時提供 Encrypted 中顯示的 KmsKeyId 和 還原未加密磁碟區 (未啟用預設加密) 參數。
複製未加密快照 (未啟用預設加密)
若未啟用預設加密,未加密快照的複本預設為未加密。不過,您可以設定 Encrypted 參數,並選擇性地設定 KmsKeyId 參數,來加密產生的快照。如果省略 KmsKeyId,產生的快照會由預設的 KMS 金鑰加密。您必須指定 KMS 金鑰 ID,將磁碟區加密為不同的對稱加密 KMS 金鑰。
下圖說明此程序。
您可以將未加密的快照複製到加密的快照,然後從加密的快照建立磁碟區,藉此加密 EBS 磁碟區。如需詳細資訊,請參閱複製 Amazon EBS 快照。
複製未加密快照 (已啟用預設加密)
當您預設啟用加密時,未加密快照的副本必須加密,而且如果使用預設的 KMS 金鑰,則不需要加密參數。下圖說明此預設案例:
重新加密已加密的磁碟區
當CreateVolume動作在加密快照上操作時,您可以選擇使用不同的 KMS 金鑰重新加密。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰,即 KMS 金鑰 A 和 KMS 金鑰 B。來源快照由 KMS 金鑰 A 加密。在磁碟區建立期間,將 KMS 金鑰 B 的 KMS 金鑰 ID 指定為 參數,來源資料會自動解密,然後由 KMS 金鑰 B 重新加密。
如需詳細資訊,請參閱建立 Amazon EBS 磁碟區。
重新加密未加密快照
在複製期間加密快照的功能可讓您將新的對稱加密 KMS 金鑰套用至您已加密的快照。從產生的複本還原的磁碟區只能使用新的 KMS 金鑰存取。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰,即 KMS 金鑰 A 和 KMS 金鑰 B。來源快照由 KMS 金鑰 A 加密。在複製期間,將 KMS 金鑰 B 的 Word KMS金鑰 ID 指定為 參數,來源資料會自動由 KMS 金鑰 B 重新加密。
在相關案例中,您可以選擇將新的加密參數套用到與您共享之快照的複本。根據預設,複本會使用快照擁有者共用的 KMS 金鑰進行加密。不過,我們建議您使用您控制的不同 KMS 金鑰建立共用快照的副本。這可在原始 KMS 金鑰遭到入侵,或擁有者因任何原因撤銷 KMS 金鑰時,保護您對磁碟區的存取。如需詳細資訊,請參閱加密和快照複製。
在加密和未加密磁碟區間遷移資料
當您可以存取加密和未加密磁碟區時,您可以自由的在其間傳輸資料。EC2 透明地執行加密和解密操作。
例如,使用 rsync 命令來複製資料。在下列命令中,來源資料位於 /mnt/source,目標磁碟區則掛載於 /mnt/destination。
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
例如,使用 robocopy 命令來複製資料。在下列命令中,來源資料位於 D:\,目標磁碟區則掛載於 E:\。
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
我們建議使用資料夾,而非複製整個磁碟區,因為這可避免隱藏資料夾的潛在問題。
加密結果
下表說明每個可能設定組合的加密結果。
| 加密是否已啟用? | 是否預設啟用加密? | 磁碟區來源 | 預設 (未指定客戶受管金鑰) | 自訂 (已指定客戶受管金鑰) |
|---|---|---|---|---|
| 否 | 否 | 新的 (空白) 磁碟區 | 未加密 | N/A |
| 否 | 否 | 您擁有的未加密快照 | 未加密 | |
| 否 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 否 | 否 | 與您共用的未加密快照 | 未加密 | |
| 否 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密* | |
| 是 | 否 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密* |
| 是 | 否 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 是 | 否 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 新的 (空白) 磁碟區 | 按預設客戶受管金鑰加密 | N/A |
| 否 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 否 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密 |
| 是 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 是 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 |
* 這是用於 AWS 帳戶和區域 EBS 加密的預設客戶受管金鑰。根據預設,這是 EBS AWS 受管金鑰 的唯一金鑰,或者您可以指定客戶受管金鑰。
** 這是啟動時針對磁碟區指定的客戶受管金鑰。此客戶受管金鑰是用來取代 AWS 帳戶和區域的預設客戶受管金鑰。
