Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrez les données stockées dans les volumes Amazon EBS associés aux tâches Amazon ECS
Vous pouvez utiliser AWS Key Management Service (AWS KMS) pour créer et gérer des clés cryptographiques qui protègent vos données. Les volumes Amazon EBS sont chiffrés au repos à l'aide AWS KMS keys de. Les types de données suivants sont cryptés :
-
Données stockées au repos sur le volume
-
E/S de disque
-
Instantanés créés à partir du volume
-
Nouveaux volumes créés à partir de snapshots chiffrés
Les volumes Amazon EBS attachés à des tâches peuvent être chiffrés en utilisant soit une valeur par défaut Clé gérée par AWS avec l'aliasalias/aws/ebs, soit une clé symétrique gérée par le client spécifiée dans la configuration du volume. Clés gérées par AWS Les valeurs par défaut sont uniques à chaque Compte AWS Région AWS utilisateur et sont créées automatiquement. Pour créer une clé symétrique gérée par le client, suivez les étapes décrites dans la section Création de clés KMS de chiffrement symétriques dans le manuel du AWS KMS développeur.
Vous pouvez configurer le chiffrement Amazon EBS par défaut afin que tous les nouveaux volumes créés et attachés à une tâche spécifique Région AWS soient chiffrés à l'aide de la clé KMS que vous spécifiez pour votre compte. Pour plus d'informations sur le chiffrement Amazon EBS et le chiffrement par défaut, consultez la section Chiffrement Amazon EBS dans le guide de l'utilisateur Amazon EBS.
Vous pouvez également configurer le chiffrement au niveau du cluster Amazon ECS pour le stockage géré par Amazon ECS lorsque vous créez ou mettez à jour un cluster. Le chiffrement au niveau du cluster peut être utilisé pour chiffrer tous les volumes Amazon EBS associés à des tâches exécutées dans un cluster spécifique à l'aide de la clé KMS spécifiée au niveau du cluster. Pour plus d'informations sur la configuration du chiffrement au niveau du cluster, consultez ManagedStorageConfigurationla référence de l'API Amazon ECS.
Vous pouvez configurer n'importe quelle combinaison de ces touches. L'ordre de priorité des clés KMS est le suivant :
-
La clé KMS spécifiée dans la configuration du volume. Lorsque vous spécifiez une clé KMS dans la configuration du volume, elle remplace la clé par défaut d'Amazon EBS et toute clé KMS spécifiée au niveau du cluster.
-
La clé KMS spécifiée au niveau du cluster. Lorsque vous spécifiez une clé KMS pour le chiffrement au niveau du cluster du stockage géré Amazon ECS, elle remplace le chiffrement par défaut d'Amazon EBS mais ne remplace aucune clé KMS spécifiée dans la configuration du volume.
-
Chiffrement par défaut d'Amazon EBS. Le chiffrement par défaut s'applique lorsque vous ne spécifiez ni clé KMS au niveau du cluster ni clé dans la configuration du volume. Si vous activez le chiffrement Amazon EBS par défaut, il s'agit de la clé KMS que vous spécifiez pour le chiffrement par défaut. Dans le cas contraire, la valeur par défaut est le Clé gérée par AWS avec l'alias
alias/aws/ebs.Note
Si vous définissez cette
encryptedoptionfalsedans la configuration de votre volume, que vous ne spécifiez aucune clé KMS au niveau du cluster et que vous activez le chiffrement Amazon EBS par défaut, le volume sera toujours chiffré avec la clé spécifiée pour le chiffrement Amazon EBS par défaut.
Politique relative aux clés KMS gérée par le client
Pour chiffrer un volume EBS attaché à votre tâche à l'aide d'une clé gérée par le client, vous devez configurer votre politique de clé KMS afin de vous assurer que le rôle IAM que vous utilisez pour la configuration du volume dispose des autorisations nécessaires pour utiliser la clé. La politique clé doit inclure les kms:GenerateDataKey* autorisations kms:CreateGrant et. Les kms:ReEncryptFrom autorisations kms:ReEncryptTo et sont nécessaires pour chiffrer les volumes créés à l'aide de snapshots. Si vous souhaitez configurer et chiffrer uniquement les nouveaux volumes vides à des fins de pièce jointe, vous pouvez exclure les kms:ReEncryptFrom autorisations kms:ReEncryptTo et.
L'extrait de code JSON suivant montre les principales déclarations de politique que vous pouvez associer à votre politique clé KMS. L'utilisation de ces instructions permettra à Amazon ECS d'utiliser la clé pour chiffrer le volume EBS. Pour utiliser les exemples de déclarations de politique, user input placeholders
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:DescribeKey", "Resource":"*" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": [ "kms:GenerateDataKey*", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:CreateGrant", "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" }, "Bool": { "kms:GrantIsForAWSResource": true } } }
Pour plus d'informations sur les politiques et autorisations clés, voir Politiques clés AWS KMS et AWS KMS autorisations dans le Guide du AWS KMS développeur. Pour résoudre les problèmes de connexion aux volumes EBS liés aux autorisations clés, consultezRésolution des problèmes liés aux pièces jointes de volumes Amazon EBS aux tâches Amazon ECS .
