So funktioniert die Amazon EBS-Verschlüsselung - Amazon EBS
So funktioniert die EBS-Verschlüsselung bei verschlüsseltem SnapshotSo funktioniert die EBS-Verschlüsselung bei unverschlüsseltem SnapshotAuswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Amazon EBS-Verschlüsselung

Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln.

Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

Amazon EBS verschlüsselt Ihr Volume mit einem Datenschlüssel unter Verwendung der branchenüblichen AES-256-Datenverschlüsselung. Der Datenschlüssel wird von einem Schlüssel generiert AWS KMS und anschließend AWS KMS mit einem AWS KMS Schlüssel verschlüsselt, bevor er zusammen mit Ihren Volumeninformationen gespeichert wird. Amazon EBS erstellt Von AWS verwalteter Schlüssel in jeder Region, in der Sie Amazon EBS-Ressourcen erstellen, automatisch eine eindeutige. Der Alias für den KMS-Schlüssel lautet. aws/ebs Amazon EBS verwendet standardmäßig diesen Verschlüsselung für die Verschlüsselung. Alternativ können Sie einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, den Sie selbst erstellen. Die Verwendung eines eigenen Verschlüsselung gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, KMS-Schlüssel zu erstellen, zu rotieren und zu deaktivieren.

Amazon EC2 verwendet AWS KMS , um Ihre EBS-Volumes auf leicht unterschiedliche Weise zu ver- und entschlüsseln, je nachdem, ob der Snapshot, aus dem Sie ein verschlüsseltes Volume erstellen, verschlüsselt oder unverschlüsselt ist.

So funktioniert die EBS-Verschlüsselung bei verschlüsseltem Snapshot

Wenn Sie aus einem verschlüsselten Snapshot, den Sie besitzen, ein verschlüsseltes Volume erstellen, verschlüsselt und entschlüsselt Amazon EC2 Ihre EBS-Volumes wie folgt: AWS KMS

  1. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.

  2. Wenn das Volume mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt ist, AWS KMS verwendet es denselben Datenschlüssel wie der Snapshot und verschlüsselt ihn unter demselben KMS-Schlüssel. Wenn das Volume mit einem anderen KMS-Schlüssel verschlüsselt ist, AWS KMS generiert es einen neuen Datenschlüssel und verschlüsselt ihn unter dem von Ihnen angegebenen KMS-Schlüssel. Der verschlüsselte Datenschlüssel wird an Amazon EBS gesendet, damit er mit den Volume-Metadaten gespeichert wird.

  3. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine CreateGrantAnfrage an, AWS KMS damit es den Datenschlüssel entschlüsseln kann.

  4. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  5. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatte I/O auf das Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

So funktioniert die EBS-Verschlüsselung bei unverschlüsseltem Snapshot

Wenn Sie ein verschlüsseltes Volume aus einem unverschlüsselten Snapshot erstellen, arbeitet Amazon EC2 wie folgt mit AWS KMS zusammen, um Ihre EBS-Volumes zu ver- und entschlüsseln:

  1. Amazon EC2 sendet eine CreateGrantAnfrage an AWS KMS, damit es das Volume verschlüsseln kann, das aus dem Snapshot erstellt wurde.

  2. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.

  3. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem KMS-Schlüssel, den Sie für die Volumenverschlüsselung ausgewählt haben, und sendet den verschlüsselten Datenschlüssel an Amazon EBS, damit er zusammen mit den Volume-Metadaten gespeichert wird.

  4. Amazon EC2 sendet eine Decrypt-Anfrage, AWS KMS um den verschlüsselten Datenschlüssel zu entschlüsseln, den es dann zum Verschlüsseln der Volumendaten verwendet.

  5. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine CreateGrantAnfrage an AWS KMS, damit es den Datenschlüssel entschlüsseln kann.

  6. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine Decrypt-Anfrage unter Angabe des verschlüsselten Datenschlüssels an AWS KMS.

  7. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  8. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um die Festplatte I/O auf das Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

Weitere Informationen finden Sie unter So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS und Amazon EC2 – Beispiel zwei im AWS Key Management Service -Entwicklerhandbuch.

Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der Schlüsselstatus des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in kryptografischen Vorgängen schlagen fehl.

Wenn Sie eine Aktion ausführen, die den KMS-Schlüssel unbrauchbar macht, hat dies keine unmittelbaren Auswirkungen auf die EC2-Instance oder die angehängten EBS-Volumes. Amazon EC2 verwendet den Datenschlüssel, nicht den KMS-Schlüssel, um die gesamte Festplatte zu verschlüsseln, I/O während das Volume an die Instance angehängt ist.

Wenn jedoch das verschlüsselte EBS-Volume von der EC2-Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wird das verschlüsselte EBS-Volume dann wieder an eine EC2-Instance angefügt, schlägt dies fehl, weil Amazon EBS nicht den KMS-Schlüssel verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.

Tipp

Wenn Sie nicht mehr auf Daten zugreifen möchten, die auf einem EBS-Volume gespeichert sind, das mit einem aus einem KMS-Schlüssel generierten Datenschlüssel verschlüsselt ist, den Sie unbrauchbar machen möchten, empfehlen wir, das EBS-Volume von der EC2-Instance zu trennen, bevor Sie den KMS-Schlüssel unbrauchbar machen.

Weitere Informationen finden Sie unter Wie sich unbrauchbare KMS-Schlüssel auf Datenschlüssel auswirken  im AWS Key Management Service -Entwicklerhandbuch.