Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement Amazon EBS
Utilisez le chiffrement Amazon EBS comme solution de chiffrement simple pour vos ressources Amazon EBS associées à vos instances Amazon EC2. Avec le chiffrement Amazon EBS, vous n’avez pas besoin de créer, de maintenir ou de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement Amazon EBS utilise les clés AWS KMS keys lors de la création de volumes et d’instantanés chiffrés.
Les opérations de chiffrement ont lieu sur les serveurs hébergeant les instances EC2, garantissant ainsi la sécurité data-in-transit entre une instance data-at-rest et le stockage EBS qui lui est rattaché.
Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à une instance. Tous les types d'instances Amazon EC2 prennent en charge le chiffrement Amazon EBS.
**Topics**
+ [Comment fonctionne le chiffrement Amazon EBS](how-ebs-encryption-works.md)
+ [Exigences relatives au chiffrement Amazon EBS](ebs-encryption-requirements.md)
+ [Activer le chiffrement Amazon EBS par défaut](encryption-by-default.md)
+ [Chiffrer les ressources EBS](#encryption-parameters)
+ [Rotation AWS KMS des clés utilisées pour le chiffrement Amazon EBS](kms-key-rotation.md)
+ [Exemples de chiffrement Amazon EBS](encryption-examples.md)
# Comment fonctionne le chiffrement Amazon EBS
Vous pouvez chiffrer à la fois les volumes de démarrage et de données d’une instance EC2.
Lorsque vous créez un volume EBS chiffré et l’attachez à un type d’instance pris en charge, les types de données suivants sont chiffrés :
+ Données au repos à l’intérieur du volume
+ Toutes les données circulant entre le volume et l’instance
+ Tous les instantanés créés à partir du volume
+ Tous les volumes créés à partir de ces instantanés
Amazon EBS chiffre votre volume à l'aide d'une [clé de données en utilisant le chiffrement des données AES-256](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) conforme aux normes du secteur. La clé de données est générée AWS KMS puis cryptée à l' AWS KMS aide d'une AWS KMS clé avant d'être stockée avec les informations de votre volume. Amazon EBS crée automatiquement un identifiant unique Clé gérée par AWS dans chaque région dans laquelle vous créez des ressources Amazon EBS. L'[alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) de la clé KMS est`aws/ebs`. Par défaut, Amazon EBS utilise cette clé KMS pour le chiffrement. Vous pouvez également utiliser une clé de chiffrement symétrique gérée par le client que vous créez. L’utilisation de votre propre clé KMS vous donne plus de flexibilité dans la mesure où elle vous permet de créer des clés Clés KMS, de les modifier ou de les désactiver à votre convenance.
Amazon EC2 fonctionne avec AWS KMS pour chiffrer et déchiffrer vos volumes EBS de manière légèrement différente selon que l'instantané à partir duquel vous créez un volume chiffré est chiffré ou non chiffré.
## Fonctionnement du chiffrement EBS lorsque le snapshot est chiffré
Lorsque vous créez un volume chiffré à partir d'un instantané chiffré que vous possédez, Amazon EC2 fonctionne avec lui AWS KMS pour chiffrer et déchiffrer vos volumes EBS comme suit :
1. Amazon EC2 envoie une [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)demande à AWS KMS, en spécifiant la clé KMS que vous avez choisie pour le chiffrement du volume.
1. Si le volume est chiffré à l'aide de la même clé KMS que le snapshot, AWS KMS utilise la même clé de données que le snapshot et le chiffre sous cette même clé KMS. Si le volume est chiffré à l'aide d'une autre clé KMS, AWS KMS génère une nouvelle clé de données et la chiffre sous la clé KMS que vous avez spécifiée. La clé de données chiffrée est envoyée à Amazon EBS pour être stockée avec les métadonnées du volume.
1. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande AWS KMS afin de déchiffrer la clé de données.
1. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon EC2.
1. Amazon EC2 utilise la clé de données en texte brut du matériel Nitro pour chiffrer le disque sur le volume. I/O La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l'instance.
## Fonctionnement du chiffrement EBS lorsque l’instantané est non chiffré
Lorsque vous créez un volume chiffré à partir d’un instantané non chiffré, Amazon EC2 fonctionne avec AWS KMS pour chiffrer et déchiffrer vos volumes EBS comme suit :
1. Amazon EC2 envoie une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à AWS KMS, afin de chiffrer le volume créé à partir de l'instantané.
1. Amazon EC2 envoie une [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)demande à AWS KMS, en spécifiant la clé KMS que vous avez choisie pour le chiffrement du volume.
1. AWS KMS génère une nouvelle clé de données, la chiffre sous la clé KMS que vous avez choisie pour le chiffrement du volume et envoie la clé de données chiffrée à Amazon EBS pour qu'elle soit stockée avec les métadonnées du volume.
1. Amazon EC2 envoie une demande de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS pour déchiffrer la clé de données chiffrée, qu'il utilise ensuite pour chiffrer les données du volume.
1. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à AWS KMS, afin qu'il puisse déchiffrer la clé de données.
1. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une demande de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) à AWS KMS, en spécifiant la clé de données chiffrée.
1. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon EC2.
1. Amazon EC2 utilise la clé de données en texte brut du matériel Nitro pour chiffrer le disque sur le volume. I/O La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l’instance.
Pour plus d’informations, consultez [Comment Amazon Elastic Block Store (Amazon EBS) utilise AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) et [Amazon EC2, exemple deux](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) dans le *Guide du développeur AWS Key Management Service *.
## Comment les clés KMS inutilisables affectent les clés de données
Lorsqu'une clé KMS devient inutilisable, l'effet est presque immédiat (sous réserve d'une éventuelle cohérence). L’état de clé de la clé KMS change pour refléter son nouvel état, et toutes les requêtes d’utilisation de la clé KMS dans des opérations cryptographiques échouent.
Lorsque vous effectuez une action qui rend la clé KMS inutilisable, il n’y a aucun effet immédiat sur l’instance EC2 ou sur les volumes EBS attachés. Amazon EC2 utilise la clé de données, et non la clé KMS, pour chiffrer tous les disques I/O lorsque le volume est attaché à l'instance.
Toutefois, lorsque le volume EBS chiffré est détaché de l'instance EC2, Amazon EBS supprime la clé de données en texte brut du matériel Nitro. La prochaine fois que le volume EBS chiffré est attaché à une instance EC2, l'attachement échoue, car Amazon EBS ne peut pas utiliser la clé KMS pour déchiffrer la clé de données chiffrée du volume. Pour utiliser le volume EBS à nouveau, vous devez rendre la clé KMS à nouveau utilisable.
**Astuce**
Si vous ne souhaitez plus accéder aux données stockées dans un volume EBS chiffré à l’aide d’une clé de données générée à partir d’une clé KMS que vous souhaitez rendre inutilisable, nous vous recommandons de détacher le volume EBS de l’instance EC2 avant de rendre la clé KMS inutilisable.
Pour plus d’informations, veuillez consulter la rubrique [How unusable KMS keys affect data keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) dans le *Guide du développeur AWS Key Management Service *.
# Exigences relatives au chiffrement Amazon EBS
Avant de commencer, vérifiez que les conditions requises suivantes sont respectées :
**Topics**
+ [Types de volume pris en charge](#ebs-encryption-volume-types)
+ [Types d’instance pris en charge](#ebs-encryption_supported_instances)
+ [Autorisations pour les utilisateurs](#ebs-encryption-permissions)
+ [Autorisations pour les instances](#ebs-encryption-instance-permissions)
## Types de volume pris en charge
Le chiffrement est pris en charge par tous les types de volume EBS. Les mêmes performances IOPS sont à prévoir sur les volumes chiffrés que sur les volumes non chiffrés, avec des conséquences minimes sur la latence. Vous pouvez accéder à des volumes chiffrés de la même façon qu’à des volumes non chiffrés. Le chiffrement et le déchiffrement sont gérés de façon transparente et ne nécessitent aucune action supplémentaire de votre part ou de vos applications.
## Types d’instance pris en charge
Le chiffrement Amazon EBS est disponible sur tous les types d'instances de [génération actuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [et précédente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
## Autorisations pour les utilisateurs
Lorsque vous utilisez une clé KMS pour le chiffrement EBS, la politique de clé KMS permet à tout utilisateur ayant accès aux AWS KMS actions requises d'utiliser cette clé KMS pour chiffrer ou déchiffrer les ressources EBS. Vous devez accorder aux utilisateurs l’autorisation d’appeler les actions suivantes afin d’utiliser le chiffrement EBS :
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`
**Astuce**
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à `kms:CreateGrant`. Utilisez plutôt la clé de `kms:GrantIsForAWSResource` condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Pour plus d'informations, consultez [Autoriser l'accès au AWS compte et activer les politiques IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) dans la section **Politique clé par défaut** du *Guide du AWS Key Management Service développeur*.
## Autorisations pour les instances
Lorsqu’une instance tente d’interagir avec une AMI, un volume ou un instantané chiffré, une autorisation de clé KMS est attribuée au rôle réservé à l’identité de l’instance. Le rôle d'identité uniquement est un rôle IAM utilisé par l'instance pour interagir avec des volumes chiffrés AMIs ou des instantanés en votre nom.
Les rôles réservés à l’identité n’ont pas besoin d’être créés ou supprimés manuellement, et aucune stratégie ne leur est associée. De plus, vous ne pouvez pas accéder aux informations d’identification du rôle réservé à l’identité.
**Note**
Les rôles d'identité uniquement ne sont pas utilisés par les applications de votre instance pour accéder à d'autres ressources AWS KMS chiffrées, telles que les objets Amazon S3 ou les tables Dynamo DB. Ces opérations sont effectuées à l'aide des informations d'identification d'un rôle d'instance Amazon EC2 ou d'autres AWS informations d'identification que vous avez configurées sur votre instance.
Les rôles d'identité uniquement sont soumis aux politiques de [contrôle des services (SCPs) et aux politiques](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) [clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Si une clé SCP ou KMS refuse au rôle d'identité uniquement l'accès à une clé KMS, vous risquez de ne pas lancer d'instances EC2 avec des volumes chiffrés ou à l'aide de données chiffrées ou de snapshots. AMIs
Si vous créez un SCP ou une politique clé qui refuse l'accès en fonction de l'emplacement du réseau à l'aide des clés de condition `aws:SourceIp` `aws:VpcSourceIp``aws:SourceVpc`,, ou `aws:SourceVpce` AWS globales, vous devez vous assurer que ces déclarations de politique ne s'appliquent pas aux rôles d'instance uniquement. Pour obtenir des exemples de stratégies, consultez la section [Exemples de stratégies relatives aux périmètres de données](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main) (français non garanti).
Le rôle à identité uniquement ARNs utilise le format suivant :
```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```
Lorsqu’une attribution de clé est attribuée à une instance, elle est attribuée à la session à rôle assumé spécifique à cette instance. L’ARN principal du bénéficiaire utilise le format suivant :
```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```
# Activer le chiffrement Amazon EBS par défaut
Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux volumes EBS et des copies instantanées que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d’un instantané non chiffré. Pour voir des exemples de transition de ressources EBS non chiffrées à chiffrées, consultez [Chiffrer les ressources non chiffrées](ebs-encryption.md#encrypt-unencrypted).
Le chiffrement par défaut n’a aucun effet sur les instantanés ni les volumes EBS existants.
**Considérations**
+ Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l’activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région.
+ Le chiffrement Amazon EBS est pris en charge par défaut sur tous les types d'instances de [génération actuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [et précédente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
+ Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.
------
#### [ Console ]
**Pour activer le chiffrement par défaut pour une région**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans la barre de navigation, sélectionnez la région.
1. Dans le volet de navigation, sélectionnez **Tableau de bord EC2**.
1. En haut à droite de la page, choisissez **Attributs du compte**, **Protection des données et sécurité**.
1. Dans la section **Chiffrement EBS**, choisissez **Gérer**.
1. Sélectionnez **Activer**. Vous conservez l' Clé gérée par AWS alias `aws/ebs` créé en votre nom comme clé de chiffrement par défaut, ou vous choisissez une clé de chiffrement symétrique gérée par le client.
1. Choisissez **Mettre à jour le chiffrement EBS**.
------
#### [ AWS CLI ]
**Pour afficher le paramètre de chiffrement par défaut**
Utilisez la commande [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html).
+ Pour une région spécifique
```
aws ec2 get-ebs-encryption-by-default --region region
```
+ Pour toutes les régions de votre compte
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Pour activer le chiffrement par défaut**
Utilisez la commande [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Pour une région spécifique
```
aws ec2 enable-ebs-encryption-by-default --region region
```
+ Pour toutes les régions de votre compte
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Pour désactiver le chiffrement par défaut**
Utilisez la commande [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Pour une région spécifique
```
aws ec2 disable-ebs-encryption-by-default --region region
```
+ Pour toutes les régions de votre compte
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
------
#### [ PowerShell ]
**Pour afficher le paramètre de chiffrement par défaut**
Utilisez l’applet de commande [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html).
+ Pour une région spécifique
```
Get-EC2EbsEncryptionByDefault -Region region
```
+ Pour toutes les régions de votre compte
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Pour activer le chiffrement par défaut**
Utilisez l’applet de commande [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html).
+ Pour une région spécifique
```
Enable-EC2EbsEncryptionByDefault -Region region
```
+ Pour toutes les régions de votre compte
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Pour désactiver le chiffrement par défaut**
Utilisez l’applet de commande [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html).
+ Pour une région spécifique
```
Disable-EC2EbsEncryptionByDefault -Region region
```
+ Pour toutes les régions de votre compte
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
------
Vous ne pouvez pas modifier la clé KMS associée à un instantané ou à un volume chiffré existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.
## Chiffrer les ressources EBS
Vous chiffrez les volumes EBS en activant le chiffrement, soit en utilisant le [chiffrement par défaut](encryption-by-default.md), soit en activant le chiffrement lorsque vous créez un volume que vous souhaitez chiffrer.
Lorsque vous chiffrez un volume, vous pouvez spécifier la clé de chiffrement KMS symétrique à utiliser à cette fin. Si vous ne spécifiez pas de clé KMS, la clé KMS utilisée pour le chiffrement dépend de l’état de chiffrement de l’instantané source et de son propriétaire. Pour plus d’informations, consultez le [tableau des résultats de chiffrement](encryption-examples.md#ebs-volume-encryption-outcomes).
**Note**
Si vous utilisez l'API ou si vous AWS CLI souhaitez spécifier une clé KMS, sachez que la clé KMS est AWS authentifiée de manière asynchrone. Si vous spécifiez un ID de clé KMS, un alias ou un ARN qui n’est pas valide, l’action peut sembler se terminer mais finalement échouer.
Vous ne pouvez pas modifier la clé KMS associée à un volume ou à un instantané existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.
### Chiffrer un volume vide lors de sa création
Lorsque vous créez un volume EBS vide, vous pouvez le chiffrer en activant le chiffrement pour l’opération de création du volume spécifique. Si vous avez activé le chiffrement EBS par défaut, le volume est automatiquement chiffré à l’aide de votre clé KMS par défaut de chiffrement EBS. Sinon, vous pouvez spécifier une autre clé de chiffrement KMS symétrique pour l’opération de création du volume spécifique. Le volume est chiffré dès sa mise à disposition afin que vos données soient toujours sécurisées. Pour connaître les procédures détaillées, consultez [Créez un volume Amazon EBS.](ebs-creating-volume.md).
Par défaut, la clé KMS que vous avez sélectionnée lors de la création d’un volume chiffre les instantanés que vous créez à partir de ce volume, et les volumes que vous restaurez à partir de ces instantanés chiffrés. Vous ne pouvez pas supprimer le chiffrement d’un volume ou d’un instantané chiffré, ce qui signifie qu’un volume restauré à partir d’un instantané chiffré, ou une copie d’un instantané chiffré, reste toujours chiffré(e).
Les instantanés publics de volumes chiffrés ne sont pas pris en charge. Vous pouvez cependant partager un instantané chiffré avec certains comptes. Pour obtenir des instructions complètes, consultez [Partager un instantané Amazon EBS avec d'autres comptes AWS](ebs-modifying-snapshot-permissions.md).
### Chiffrer les ressources non chiffrées
Vous ne pouvez pas chiffrer directement des volumes ou des instantanés non chiffrés existants.
Pour chiffrer un volume non chiffré, créez un instantané de ce volume, puis utilisez-le pour créer un nouveau volume chiffré. Pour plus d’informations, consultez [Créer des instantanés ](ebs-create-snapshot.md) et [Créer un volume](ebs-creating-volume.md).
Pour chiffrer un instantané non chiffré, créez une copie chiffrée de cet instantané. Pour de plus amples informations, veuillez consulter [Copie d’un instantané](ebs-copy-snapshot.md).
Si vous activez le chiffrement de votre compte par défaut, les volumes et les copies instantanées créées à partir d'instantanés non chiffrés sont toujours chiffrés. Dans le cas contraire, vous devez spécifier les paramètres de chiffrement dans la demande. Pour de plus amples informations, veuillez consulter [Activer le chiffrement par défaut](encryption-by-default.md).
# Rotation AWS KMS des clés utilisées pour le chiffrement Amazon EBS
Les bonnes pratiques de chiffrement décourage la réutilisation étendue des clés de chiffrement.
Pour créer un nouveau matériel cryptographique à utiliser avec le chiffrement Amazon EBS, vous pouvez soit créer une nouvelle clé gérée par le client, puis modifier vos applications pour utiliser cette nouvelle clé KMS. Vous pouvez également activer la rotation automatique des clés pour une clé gérée par le client existante.
Lorsque vous activez la rotation automatique des clés pour une clé gérée par le client, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. AWS KMS enregistre toutes les versions précédentes du matériel cryptographique afin que vous puissiez continuer à déchiffrer et à utiliser les volumes et les instantanés précédemment chiffrés avec ce matériel clé KMS. AWS KMS ne supprime aucun élément clé pivoté tant que vous n'avez pas supprimé la clé KMS.
Lorsque vous utilisez une clé gérée par le client pivotée pour chiffrer un nouveau volume ou un nouvel instantané, elle AWS KMS utilise le (nouveau) contenu clé actuel. Lorsque vous utilisez une clé gérée par le client pivotée pour déchiffrer un volume ou un instantané, AWS KMS vous utilisez la version du matériel cryptographique utilisé pour le chiffrer. Si un volume ou un instantané est chiffré avec une version précédente du matériel cryptographique, continuez AWS KMS à utiliser cette version précédente pour le déchiffrer. AWS KMS ne rechiffre pas les volumes ou les instantanés précédemment chiffrés pour utiliser le nouveau matériel cryptographique après une rotation de clé. Ils restent chiffrés avec le matériel cryptographique avec lequel ils ont été initialement chiffrés. Vous pouvez utiliser en toute sécurité une clé gérée par le client avec rotation dans les applications et les AWS services sans modifier le code.
**Note**
La rotation automatique des clés n'est prise en charge que pour les clés symétriques gérées par le client dont le contenu clé est AWS KMS créé.
AWS KMS change automatiquement Clés gérées par AWS chaque année. Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés gérées par AWS.
Pour plus d’informations, consultez [Rotation de clé KMS](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) dans le *Guide du développeur AWS Key Management Service *.
# Exemples de chiffrement Amazon EBS
Lorsque vous créez une ressource EBS chiffrée, elle est chiffrée par la clé KMS par défaut de chiffrement EBS de votre compte, sauf si vous spécifiez une autre clé gérée par le client dans les paramètres de création de volume ou le mappage de périphérique de stockage en mode bloc pour l’AMI ou l’instance.
Les exemples suivants montrent comment vous pouvez gérer l’état de chiffrement de vos volumes et instantanés. Pour obtenir une liste complète des cas de chiffrement, consultez le [tableau des résultats de chiffrement](#ebs-volume-encryption-outcomes).
**Topics**
+ [Restauration d’un volume non chiffré (chiffrement par défaut non activé)](#volume-account-off)
+ [Restauration d’un volume non chiffré (chiffrement par défaut activé)](#volume-account-on)
+ [Copie d’un instantané non chiffré (chiffrement par défaut non activé)](#snapshot-account-off)
+ [Copie d’un instantané non chiffré (chiffrement par défaut activé)](#snapshot-account-on)
+ [Rechiffrement d’un volume chiffré](#reencrypt-volume)
+ [Rechiffrement d’un instantané chiffré](#reencrypt-snapshot)
+ [Migration des données entre les volumes chiffrés et non chiffrés](#migrate-data-encrypted-unencrypted)
+ [Résultats du chiffrement](#ebs-volume-encryption-outcomes)
## Restauration d’un volume non chiffré (chiffrement par défaut non activé)
Sans le chiffrement par défaut activé, un volume restauré à partir d’un instantané non chiffré est non chiffré par défaut. Cependant, vous pouvez chiffrer le volume créé en définissant le paramètre `Encrypted` et, éventuellement, le paramètre `KmsKeyId`. Le schéma suivant illustre le processus.
![\[Lorsque vous créez un volume à partir d'un instantané non chiffré, spécifiez une clé KMS pour créer un volume chiffré.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/volume-encrypt-account-off.png)
Si vous ne spécifiez pas le paramètre `KmsKeyId`, le volume obtenu est chiffré à l’aide de votre clé clé KMS par défaut de chiffrement EBS. Vous devez fournir un ID de clé KMS pour chiffrer le volume avec une autre clé KMS.
Pour de plus amples informations, veuillez consulter [Créez un volume Amazon EBS.](ebs-creating-volume.md).
## Restauration d’un volume non chiffré (chiffrement par défaut activé)
Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les volumes restaurés à partir d’instantanés non chiffrés et aucun paramètre de chiffrement n’est requis pour utiliser votre clé KMS par défaut. Le schéma suivant illustre ce cas simple par défaut :
![\[Lorsque vous créez un volume à partir d'un instantané non chiffré mais que le chiffrement est activé par défaut, nous utilisons la clé KMS par défaut pour créer un volume chiffré.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/volume-encrypt-account-on.png)
Si vous souhaitez chiffrer le volume restauré avec une clé de chiffrement gérée par le client symétrique, vous devez fournir les paramètres `Encrypted` et `KmsKeyId`, comme illustré dans [Restauration d’un volume non chiffré (chiffrement par défaut non activé)](#volume-account-off).
## Copie d’un instantané non chiffré (chiffrement par défaut non activé)
Sans le chiffrement par défaut activé, une copie d’un instantané non chiffré est non chiffrée par défaut. Cependant, vous pouvez chiffrer l’instantané créé en définissant le paramètre `Encrypted` et, éventuellement, le paramètre `KmsKeyId`. Si vous omettez le paramètre `KmsKeyId`, l’instantané obtenu est chiffré par votre clé clé KMS par défaut. Vous devez fournir un ID de clé KMS pour chiffrer le volume avec une autre clé de chiffrement KMS symétrique.
Le schéma suivant illustre le processus.
![\[Créez un instantané chiffré à partir d’un instantané non chiffré.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)
Vous pouvez chiffrer un volume EBS en copiant un instantané non chiffré sur un instantané chiffré, puis en créant un volume à partir de l’instantané chiffré. Pour plus d’informations, consultez [Copier un instantané Amazon EBS](ebs-copy-snapshot.md).
## Copie d’un instantané non chiffré (chiffrement par défaut activé)
Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les copies d’instantanés non chiffrés et aucun paramètre de chiffrement n’est requis si votre clé KMS par défaut est utilisée. Le schéma suivant illustre ce scénario par défaut :
![\[Créez un instantané chiffré à partir d’un instantané non chiffré.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)
## Rechiffrement d’un volume chiffré
Lorsque l’action `CreateVolume` est effectuée sur un instantané chiffré, vous avez l’option de rechiffrer celui-ci avec une autre clé clé KMS. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux clés Clés KMS, la clé KMS A et la clé KMS B. L’instantané source est chiffré avec la clé KMS A. Pendant la création de volume, avec l’ID clé KMS de la clé KMS B spécifié comme paramètre, les données sources sont automatiquement déchiffrées, puis rechiffrées avec la clé KMS B.
![\[Copie d’un instantané chiffré et chiffrement de la copie avec une nouvelle clé KMS.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/volume-reencrypt.png)
Pour de plus amples informations, veuillez consulter [Créez un volume Amazon EBS.](ebs-creating-volume.md).
## Rechiffrement d’un instantané chiffré
La possibilité de chiffrer un instantané pendant la copie vous permet d’appliquer une nouvelle clé de chiffrement KMS symétrique à un instantané déjà chiffré que vous possédez. Les volumes restaurés à partir de la copie qui en résulte sont uniquement accessibles à l’aide de la nouvelle clé KMS. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux clés Clés KMS, la clé KMS A et la clé KMS B. L’instantané source est chiffré avec la clé KMS A. Pendant la copie, avec l’ID clé KMS de la clé KMS B spécifié comme paramètre, les données sources sont automatiquement rechiffrées avec la clé KMS B.
![\[Copie d’un instantané chiffré et chiffrement de la copie avec une nouvelle clé KMS.\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/images/snap-reencrypt.png)
Dans un scénario similaire, vous pouvez choisir d’appliquer de nouveaux paramètres de chiffrement à une copie d’instantané partagée avec vous. Par défaut, la copie est chiffrée avec une clé KMS partagée par le propriétaire de l’instantané. Toutefois, nous vous recommandons de créer une copie de l’instantané partagé sous une clé KMS différente de celle dont vous avez le contrôle. Cela protège votre accès au volume si la clé KMS d’origine est compromise ou si le propriétaire la révoque pour quelque raison que ce soit. Pour plus d’informations, consultez [Chiffrement et copie d’instantanés](ebs-copy-snapshot.md#creating-encrypted-snapshots).
## Migration des données entre les volumes chiffrés et non chiffrés
Lorsque vous avez accès à la fois à un volume chiffré et non chiffré, vous pouvez librement transférer des données entre eux. EC2 effectue les opérations de chiffrement et de déchiffrement en toute transparence.
### Instances Linux
Par exemple, utilisez la commande **rsync** pour copier les données. Dans l’exemple suivant, les données source se trouvent à l’emplacement `/mnt/source` et le volume de destination est monté à l’emplacement `/mnt/destination`.
```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```
### instances Windows
Par exemple, utilisez la commande **robocopy** pour copier les données. Dans l’exemple suivant, les données source se trouvent à l’emplacement `D:\` et le volume de destination est monté à l’emplacement `E:\`.
```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```
Nous vous conseillons d’utiliser des dossiers plutôt que de copier tout un volume, afin d’éviter d’éventuels problèmes de dossiers masqués.
## Résultats du chiffrement
Le tableau suivant décrit le résultat du chiffrement pour chaque combinaison possible de paramètres.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/ebs/latest/userguide/encryption-examples.html)
\$1 Il s'agit de la clé gérée par le client par défaut utilisée pour le chiffrement EBS du AWS compte et de la région. Par défaut, il s'agit d'une clé unique Clé gérée par AWS pour EBS, ou vous pouvez spécifier une clé gérée par le client.
\$1\$1 Il s’agit d’une clé gérée par le client spécifiée pour le volume au moment du lancement. Cette clé gérée par le client est utilisée à la place de la clé gérée par le client par défaut pour le AWS compte et la région.