Amazon EBS 加密的運作方式 - Amazon EBS
加密快照時 EBS 加密的運作方式未加密快照時 EBS 加密的運作方式無法使用的 KMS 金鑰如何影響資料金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EBS 加密的運作方式

您可以加密 EC2 執行個體的開機和資料磁碟區。

當您建立加密的 EBS 磁碟區並將其連接至支援的執行個體類型時,會加密下列資料類型:

  • 磁碟區內的待用資料

  • 所有在磁碟區和執行個體間移動的資料

  • 所有從磁碟區建立的快照

  • 所有從那些快照建立的磁碟區

Amazon EBS 使用業界標準 AES-256 資料加密,使用資料金鑰來加密您的磁碟區。資料金鑰由 產生, AWS KMS 然後在儲存您的磁碟區資訊之前 AWS KMS 使用 AWS KMS 金鑰加密 。Amazon EBS 會在您建立 Amazon EBS 資源 AWS 受管金鑰 的每個區域中自動建立唯一的 。KMS 金鑰的別名aws/ebs。根據預設,Amazon EBS 使用此 KMS 金鑰進行加密。或者,您可以使用您建立的對稱客戶受管加密金鑰。使用您自己的 KMS 金鑰可讓您擁有更多彈性,包括建立、輪換和停用 KMS 金鑰的能力。

Amazon EC2 使用 AWS KMS 來加密和解密 EBS 磁碟區的方式略有不同,具體取決於您建立加密磁碟區的快照是加密還是未加密。

加密快照時 EBS 加密的運作方式

當您從您擁有的加密快照建立加密磁碟區時,Amazon EC2 會搭配 AWS KMS 來加密和解密您的 EBS 磁碟區,如下所示:

  1. Amazon EC2 將 GenerateDataKeyWithoutPlaintext 請求傳送至 AWS KMS,指定您為磁碟區加密選擇的 KMS 金鑰。

  2. 如果使用與快照相同的 KMS 金鑰加密磁碟區, AWS KMS 會使用與快照相同的資料金鑰,並在相同的 KMS 金鑰下加密磁碟區。如果磁碟區使用不同的 KMS 金鑰加密, AWS KMS 會產生新的資料金鑰,並在您指定的 KMS 金鑰下加密。加密的資料金鑰會傳送至 Amazon EBS,以與磁碟區中繼資料一起存放。

  3. 當您將加密磁碟區連接至執行個體時,Amazon EC2 會將 CreateGrant 請求傳送至 , AWS KMS 以便其解密資料金鑰。

  4. AWS KMS 解密加密的資料金鑰,並將解密的資料金鑰傳送至 Amazon EC2。

  5. Amazon EC2 使用 Nitro 硬體中的純文字資料金鑰,將磁碟 I/O 加密至磁碟區。只要磁碟區連接到執行個體,純文字資料金鑰就會存在記憶體中。

未加密快照時 EBS 加密的運作方式

當您從未加密的快照建立加密磁碟區時,Amazon EC2 會搭配 AWS KMS 來加密和解密您的 EBS 磁碟區,如下所示:

  1. Amazon EC2 會將 CreateGrant 請求傳送至 AWS KMS,以便其加密從快照建立的磁碟區。

  2. Amazon EC2 將 GenerateDataKeyWithoutPlaintext 請求傳送至 AWS KMS,指定您為磁碟區加密選擇的 KMS 金鑰。

  3. AWS KMS 會產生新的資料金鑰,在您選擇的磁碟區加密 KMS 金鑰下進行加密,並將加密的資料金鑰傳送至 Amazon EBS,以與磁碟區中繼資料一起存放。

  4. Amazon EC2 會將解密請求傳送至 AWS KMS 以解密加密的資料金鑰,然後用來加密磁碟區資料。

  5. 當您將加密磁碟區連接至執行個體時,Amazon EC2 會傳送 CreateGrant 請求至 AWS KMS,以便解密資料金鑰。

  6. 當您將加密磁碟區連接至執行個體時,Amazon EC2 會傳送解密請求至 AWS KMS,指定加密的資料金鑰。

  7. AWS KMS 解密加密的資料金鑰,並將解密的資料金鑰傳送至 Amazon EC2。

  8. Amazon EC2 使用 Nitro 硬體中的純文字資料金鑰,將磁碟 I/O 加密至磁碟區。只要磁碟區連接到執行個體,純文字資料金鑰就會存在記憶體中。

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMSAmazon EC2 範例二

無法使用的 KMS 金鑰如何影響資料金鑰

當 KMS 金鑰變得無法使用時,效果幾乎是立即的 (取決於最終一致性)。KMS 金鑰的金鑰狀態會變更以反映其新條件,而且在密碼編譯操作中使用 KMS 金鑰的所有請求都會失敗。

當您執行使 KMS 金鑰無法使用的動作時,不會對 EC2 執行個體或連接的 EBS 磁碟區造成立即影響。Amazon EC2 使用資料金鑰,而非 KMS 金鑰,在磁碟區連接至執行個體時加密所有磁碟 I/O。

不過,當加密的 EBS 磁碟區與 EC2 執行個體分離時,Amazon EBS 會從 Nitro 硬體移除資料金鑰。下次將加密的 EBS 磁碟區連接至 EC2 執行個體時,附件會失敗,因為 Amazon EBS 無法使用 KMS 金鑰解密磁碟區的加密資料金鑰。若要再次使用 EBS 磁碟區,您必須讓 KMS 金鑰再次可用。

提示

如果您不想再存取以您KMS打算使其無法使用的 EBS 金鑰所產生的資料金鑰加密的 Word 磁碟區中儲存的資料,建議您先將 EBS 磁碟區從 EC2 執行個體分離,再讓 KMS 金鑰無法使用。

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的無法使用的 KMS 金鑰如何影響資料金鑰