選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS

PDF
RSS
焦點模式
Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS - AWS Key Management Service
Amazon EBS 加密使用 KMS 金鑰和資料金鑰Amazon EBS 加密內容偵測 Amazon EBS 失敗使用 AWS CloudFormation 建立加密的 Amazon EBS 磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本主題詳細討論 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS 加密磁碟區和快照。對於加密 Amazon EBS 磁碟區的基本說明,請參閱 Amazon EBS 加密

Amazon EBS 加密

當您連接加密 Amazon EBS 磁碟區到支援的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體類型,存放在磁碟區的靜態資料、磁碟輸入/輸出,以及從磁碟區建立的快照全部都會加密。加密在託管 Amazon EC2 執行個體的伺服器上進行。

所有 Amazon EBS 磁碟區類型都支援此功能。您存取加密磁碟區方式與存取其他磁碟區的方式相同;加密和解密的處理過程皆相當透明,不需要您、您的 EC2 執行個體或您的應用程式進行任何額外動作。加密磁碟區的快照會自動加密,而從加密快照建立的磁碟區也會自動加密。

EBS 磁碟區的加密狀態取決於您建立磁碟區時。您不能改變現有磁碟區的加密狀態。不過,您可以在加密和未加密的磁碟區之間遷移資料,並在複製快照時套用新的加密狀態。

Amazon EBS 預設支援可選的加密。您可以在 AWS 帳戶 和 區域中的所有新 EBS 磁碟區和快照複本上自動啟用加密。此組態設定不會影響現有的磁碟區或快照。如需詳細資訊,請參閱《Amazon EBS 使用者指南》中的 Amazon EBS 加密

使用 KMS 金鑰和資料金鑰

建立加密的 Amazon EBS 磁碟區時,您可以指定 AWS KMS key。根據預設,Amazon EBS 會使用您帳戶 (aws/ebs) 中的 Amazon EBS AWS 受管金鑰。但是,您可以指定您建立和管理的客戶受管金鑰

若要使用客戶受管金鑰,您必須授予 Amazon EBS 許可,才能代表您使用 KMS 金鑰。如需必要許可的清單,請參閱《Amazon EC2 使用者指南》或》Amazon EC2 使用者指南》中的 IAM 使用者許可

重要

Amazon EBS 只支援對稱 KMS 金鑰。您無法使用非對稱 KMS 金鑰來加密 Amazon EBS 磁碟區。如需判斷 KMS 金鑰是對稱還是不對稱的說明,請參閱 識別不同的金鑰類型

對於每個磁碟區,Amazon EBS AWS KMS 會要求 產生唯一資料金鑰,以您指定的 KMS 金鑰加密。Amazon EBS 會隨著磁碟區存放加密的資料金鑰。然後,當您將磁碟區連接到 Amazon EC2 執行個體時,Amazon EBS 會呼叫 AWS KMS 來解密資料金鑰。Amazon EBS 使用存放在 Hypervisor 記憶體的純文字資料金鑰來加密所有磁碟區的磁碟輸入/輸出。如需詳細資訊,請參閱 Amazon EC2 使用者指南或 Amazon EC2 使用者指南中的 EBS 加密如何運作

Amazon EBS 加密內容

在其 GenerateDataKeyWithoutPlaintextDecrypt 請求中 AWS KMS,Amazon EBS 會使用加密內容搭配識別請求中磁碟區或快照的名稱值對。加密內容中的名稱會維持不變。

加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的請求中包含加密內容時, AWS KMS 加密會以加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。

針對使用 Amazon EBS CreateSnapshot 操作建立的所有磁碟區和加密的快照,Amazon EBS 會使用磁碟區 ID 作為加密內容值。在 CloudTrail 日誌項目的 requestParameters 欄位中,加密內容看起來如下:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

針對使用 Amazon EC2 CopySnapshot 操作建立的加密快照,Amazon EBS 會使用快照 ID 作為加密內容值。在 CloudTrail 日誌項目的 requestParameters 欄位中,加密內容看起來如下:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

偵測 Amazon EBS 失敗

為了建立加密的 EBS 磁碟區或將磁碟區連接到 EC2 執行個體,Amazon EBS 和 Amazon EC2 基礎設施必須能夠使用您為 EBS 磁碟區加密指定的 KMS 金鑰。當 KMS 金鑰無法使用,例如,當其金鑰狀態不是 Enabled 時,磁碟區建立或磁碟區連接會失敗。

在這種情況下,Amazon EBS 會傳送事件給 Amazon EventBridge (原稱為 CloudWatch Events),通知您作業失敗。您可以使用 EventBridge 建立規則,觸發可自動執行的動作來回應這些事件。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Amazon EBS 的 Amazon CloudWatch Events,特別是下列各節: Amazon EC2

若要修正這些問題,請確保您為 EBS 磁碟區加密指定的 KMS 金鑰已啟用。若要執行此操作,請先檢視 KMS 金鑰,以判斷其目前的金鑰狀態 ( 中的狀態欄 AWS Management Console)。接著,查看下列其中一個連結的相關資訊:

  • 如果 KMS 金鑰的金鑰狀態為已停用,則請啟用

  • 如果 KMS 金鑰的金鑰狀態為待匯入,則請匯入金鑰材料

  • 如果 KMS 金鑰的金鑰狀態為待刪除,則請取消金鑰刪除

使用 AWS CloudFormation 建立加密的 Amazon EBS 磁碟區

您可以使用 AWS CloudFormation 來建立加密的 Amazon EBS 磁碟區。如需詳細資訊,請參閱《AWS CloudFormation 使用者指南》中的 AWS::EC2::Volume

在本頁面

下一個主題:

Amazon EMR

上一個主題:

加密 AWS 服務

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。