Requisitos para el cifrado de Amazon EBS
Antes de comenzar, compruebe que se cumplen los siguientes requisitos.
Requisitos
Tipos de volumen admitidos
El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.
Tipos de instancias admitidas
El cifrado de Amazon EBS está disponible en todos los tipos de instancias de la generación actual y la generación anterior.
Permisos para los usuarios
Al usar una clave de KMS para el cifrado de EBS, la política de claves de KMS permite a cualquier usuario con acceso a las acciones de AWS KMS necesarias utilizar esta clave de KMS para cifrar o descifrar recursos de EBS. Debe conceder a los usuarios permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
sugerencia
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, use la clave de condición kms:GrantIsForAWSResource para permitir al usuario crear concesiones en la clave de KMS solo cuando un servicio de AWS haya creado la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.
Para obtener más información, consulte Permite el acceso a la cuenta de AWS y habilita las políticas de IAM en la sección Política de clave predeterminada de la Guía para desarrolladores de AWS Key Management Service.
Permisos para instancias
Cuando una instancia intenta interactuar con una AMI, un volumen o una instantánea cifrados, se concede una clave de KMS al rol de solo identidad de la instancia. El rol de solo identidad es un rol de IAM que la instancia utiliza para interactuar con AMI, volúmenes o instantáneas cifrados en su nombre.
Los roles de solo identidad no necesitan crearse ni eliminarse de forma manual, y no tienen políticas asociadas. Además, no puede acceder a las credenciales del rol de solo identidad.
nota
Las aplicaciones de la instancia no utilizan los roles de solo identidad para acceder a otros recursos cifrados con AWS KMS, como los objetos de Amazon S3 o las tablas de base de datos de Dynamo. Estas operaciones se realizan con las credenciales de un rol de instancia de Amazon EC2 u otras credenciales de AWS que haya configurado en la instancia.
Los roles de solo identidad están sujetos a las políticas de control de servicio (SCP) y a las políticas de claves de KMS. Si una clave de SCP o KMS deniega al rol de solo identidad el acceso a una clave de KMS, es posible que no pueda lanzar instancias de EC2 con volúmenes cifrados ni utilizar AMI o instantáneas cifradas.
Si está creando una política de SCP o de claves que deniegue el acceso en función de la ubicación de la red mediante las claves de condición globales de AWS aws:SourceIp, aws:VpcSourceIp, aws:SourceVpc o aws:SourceVpce, debe asegurarse de que estas declaraciones de política no se apliquen a los roles de solo instancia. Para ver ejemplos de políticas, consulte Ejemplos de políticas de perímetros de datos
Los ARN de roles de solo identidad utilizan el siguiente formato:
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
Cuando se emite una concesión de clave para una instancia, la concesión de clave se emite para la sesión específica del rol asumido de esa instancia. El ARN de la entidad principal del beneficiario utiliza el siguiente formato:
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
