Amazon-EBS-Verschlüsselung Verwenden von KMS-Schlüsseln und Datenschlüsseln Amazon-EBS-Verschlüsselungskontext Erkennen von Amazon-EBS-Fehlern Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen

So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS

In diesem Thema wird ausführlich beschrieben, wie Amazon Elastic Block Store (Amazon EBS) AWS KMS Volumes und Snapshots verschlüsselt. Grundlegende Anweisungen zur Verschlüsselung von EBS-Volumes finden Sie unter Amazon EBS-Verschlüsselung.

Themen

Amazon-EBS-Verschlüsselung
Verwenden von KMS-Schlüsseln und Datenschlüsseln
Amazon-EBS-Verschlüsselungskontext
Erkennen von Amazon-EBS-Fehlern
Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen

Amazon-EBS-Verschlüsselung

Wenn Sie ein verschlüsseltes Amazon-EBS-Volume einem unterstützten Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Typ zuordnen, werden sowohl die auf dem Volume gespeicherten Daten als auch die Datenträger-E/A und die von dem Volume erstellten Snapshots verschlüsselt. Die Verschlüsselung erfolgt auf den Servern, die Amazon-EC2-Instances hosten.

Diese Funktion wird für alle Typen von Amazon-EBS-Volumes unterstützt. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Die Ver- und Entschlüsselung werden transparent gehandhabt und erfordern keine weitere Aktion von Ihnen, Ihrer EC2-Instance oder Ihrer Anwendung. Snapshots von verschlüsselten Volumes werden automatisch verschlüsselt, genau wie Volumes, die auf Basis verschlüsselter Snapshots erstellt werden.

Der Verschlüsselungsstatus eines EBS-Volume wird bei der Erstellung des Volume bestimmt. Der Verschlüsselungsstatus eines vorhandenen Volume kann nicht geändert werden. Sie können jedoch Daten zwischen verschlüsselten und nicht verschlüsselten Volumes migrieren und beim Kopieren eines Snapshots einen neuen Verschlüsselungsstatus anwenden.

Amazon EBS unterstützt standardmäßig optionale Verschlüsselung. Sie können die Verschlüsselung automatisch für alle neuen EBS-Volumes und Snapshot-Kopien in Ihrer Region und Ihrer Region aktivieren. AWS-Konto Diese Konfigurationseinstellung hat keine Auswirkungen auf vorhandene Volumes oder Snapshots. Einzelheiten finden Sie unter Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch.

Verwenden von KMS-Schlüsseln und Datenschlüsseln

Wenn Sie ein verschlüsseltes Amazon-EBS-Volume erstellen, geben Sie einen AWS KMS key an. Amazon EBS verwendet standardmäßig Von AWS verwalteter Schlüssel für Amazon EBS in Ihrem Konto (aws/ebs). Sie können jedoch einen kundenverwalteten Schlüssel angeben, den Sie erstellen und verwalten.

Um einen kundenverwalteten Schlüssel zu verwenden, müssen Sie Amazon EBS die Berechtigung zur Verwendung des KMS-Schlüssels in Ihrem Namen erteilen. Weitere Informationen finden Sie unter So funktioniert die Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch.

Wichtig

Amazon EBS unterstützt nur symmetrische KMS-Schlüssel. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um ein Amazon-EBS-Volume zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Identifizieren Sie verschiedene Schlüsseltypen.

Für jedes Volume bittet Amazon EBS darum, einen eindeutigen Datenschlüssel AWS KMS zu generieren, der unter dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt ist. Amazon EBS speichert den verschlüsselten Datenschlüssel mit dem Volume. Wenn Sie dann das Volume an eine Amazon EC2 EC2-Instance anhängen, ruft Amazon EBS auf, AWS KMS um den Datenschlüssel zu entschlüsseln. Amazon EBS verwendet den Klartext-Datenschlüssel im Hypervisor-Speicher, um alle Festplatten I/O auf dem Volume zu verschlüsseln. Einzelheiten finden Sie unter So funktioniert die EBS-Verschlüsselung im Amazon EC2 EC2-Benutzerhandbuch oder im Amazon EC2 EC2-Benutzerhandbuch.

Amazon-EBS-Verschlüsselungskontext

In seinen GenerateDataKeyWithoutPlaintextund Decrypt-Anfragen an AWS KMS verwendet Amazon EBS einen Verschlüsselungskontext mit einem Name-Wert-Paar, das das Volume oder den Snapshot in der Anfrage identifiziert. Der Name im Verschlüsselungskontext variiert nicht.

Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Datenverschlüsselung aufnehmen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

Für alle Volumes und für verschlüsselte Snapshots, die mit dem Amazon CreateSnapshotEBS-Vorgang erstellt wurden, verwendet Amazon EBS die Volume-ID als Verschlüsselungskontextwert. Im requestParameters-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:


"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Für verschlüsselte Snapshots, die mit dem Amazon EC2 CopySnapshotEC2-Vorgang erstellt wurden, verwendet Amazon EBS die Snapshot-ID als Verschlüsselungskontextwert. Im requestParameters-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:


"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Erkennen von Amazon-EBS-Fehlern

Um ein verschlüsseltes EBS-Volume zu erstellen oder das Volume an eine EC2-Instance anzufügen, müssen Amazon EBS und die Amazon-EC2-Infrastruktur in der Lage sein, den für die EBS-Volume-Verschlüsselung angegebenen KMS-Schlüssel zu verwenden. Wenn der KMS-Schlüssel nicht verwendbar ist, z. B. wenn sein Schlüsselstatus nicht Enabled ist, schlägt die Volume-Erstellung oder das Anfügen des Volumes fehl.

In diesem Fall sendet Amazon EBS ein Ereignis an Amazon EventBridge (früher CloudWatch Events), um Sie über den Fehler zu informieren. In EventBridge können Sie Regeln festlegen, die als Reaktion auf diese Ereignisse automatische Aktionen auslösen. Weitere Informationen finden Sie unter Amazon CloudWatch Events for Amazon EBS im Amazon EBS-Benutzerhandbuch, insbesondere in den folgenden Abschnitten:

Um dieser Fehler zu beheben, vergewissern Sie sich, dass der KMS-Schlüssel, den Sie für die EBS-Volume-Verschlüsselung angegeben haben, aktiviert ist. Sehen Sie sich dazu zunächst den KMS-Schlüssel an, um seinen aktuellen Schlüsselstatus zu ermitteln (die Spalte Status in der AWS-Managementkonsole). Sehen Sie sich dann die Informationen unter einem der folgenden Links an:

Wenn der Schlüsselstatus des KMS-Schlüssels deaktiviert ist, aktivieren Sie ihn.
Wenn der Schlüsselstatus des KMS-Schlüssels zeigt, dass der Import ausstehend ist, importieren Sie das Schlüsselmaterial.
Wenn der Schlüsselstatus des KMS-Schlüssels Löschung ausstehend ist, brechen Sie die Schlüssellöschung ab.

Verwenden AWS CloudFormation , um verschlüsselte Amazon EBS-Volumes zu erstellen

Sie können AWS CloudFormation verwenden, um verschlüsselte Amazon-EBS-Volumes zu erstellen. Weitere Informationen finden Sie unter AWS::EC2::Volume im AWS CloudFormation -Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Dienste verschlüsseln AWS

Amazon EMR