Enkripsi data yang disimpan dalam volume Amazon EBS yang dilampirkan ke tugas Amazon ECS - Amazon Elastic Container Service
Kebijakan kunci KMS yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data yang disimpan dalam volume Amazon EBS yang dilampirkan ke tugas Amazon ECS

Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk membuat dan mengelola kunci kriptografi yang melindungi data Anda. Volume Amazon EBS dienkripsi saat istirahat dengan menggunakan. AWS KMS keys Jenis data berikut dienkripsi:

  • Data disimpan saat istirahat pada volume

  • Disk I/O

  • Snapshot dibuat dari volume

  • Volume baru dibuat dari snapshot terenkripsi

Volume Amazon EBS yang dilampirkan ke tugas dapat dienkripsi dengan menggunakan default Kunci yang dikelola AWS dengan aliasalias/aws/ebs, atau kunci terkelola pelanggan simetris yang ditentukan dalam konfigurasi volume. Default Kunci yang dikelola AWS unik untuk masing-masing Akun AWS per Wilayah AWS dan dibuat secara otomatis. Untuk membuat kunci terkelola pelanggan simetris, ikuti langkah-langkah dalam Membuat kunci KMS enkripsi simetris di Panduan PengembangAWS KMS .

Anda dapat mengonfigurasi enkripsi Amazon EBS secara default sehingga semua volume baru yang dibuat dan dilampirkan ke tugas tertentu Wilayah AWS dienkripsi dengan menggunakan kunci KMS yang Anda tentukan untuk akun Anda. Untuk informasi selengkapnya tentang enkripsi dan enkripsi Amazon EBS secara default, lihat enkripsi Amazon EBS di Panduan Pengguna Amazon EBS.

Anda juga dapat mengatur enkripsi tingkat klaster Amazon ECS untuk penyimpanan terkelola Amazon ECS saat membuat atau memperbarui klaster. Enkripsi tingkat cluster dapat digunakan untuk mengenkripsi semua volume Amazon EBS yang dilampirkan ke tugas yang berjalan di klaster tertentu dengan menggunakan kunci KMS yang ditentukan pada tingkat klaster. Untuk informasi selengkapnya tentang mengonfigurasi enkripsi di tingkat klaster, lihat ManagedStorageConfigurationdi referensi Amazon ECS API.

Anda dapat mengonfigurasi kombinasi tombol-tombol ini. Urutan prioritas kunci KMS adalah sebagai berikut:

  1. Kunci KMS ditentukan dalam konfigurasi volume. Saat Anda menentukan kunci KMS dalam konfigurasi volume, kunci ini akan mengganti default Amazon EBS dan kunci KMS apa pun yang ditentukan pada tingkat cluster.

  2. Kunci KMS ditentukan pada tingkat cluster. Saat Anda menentukan kunci KMS untuk enkripsi tingkat klaster penyimpanan terkelola Amazon ECS, kunci tersebut akan mengganti enkripsi default Amazon EBS tetapi tidak mengganti kunci KMS apa pun yang ditentukan dalam konfigurasi volume.

  3. Enkripsi default Amazon EBS. Enkripsi default berlaku ketika Anda tidak menentukan kunci KMS tingkat cluster atau kunci dalam konfigurasi volume. Jika Anda mengaktifkan enkripsi Amazon EBS secara default, default adalah kunci KMS yang Anda tentukan untuk enkripsi secara default. Jika tidak, defaultnya adalah Kunci yang dikelola AWS dengan aliasalias/aws/ebs.

    catatan

    Jika Anda menyetel encrypted ke false dalam konfigurasi volume, tentukan tidak ada kunci KMS tingkat cluster, dan aktifkan enkripsi Amazon EBS secara default, volume akan tetap dienkripsi dengan kunci yang ditentukan untuk enkripsi Amazon EBS secara default.

Kebijakan kunci KMS yang dikelola pelanggan

Untuk mengenkripsi volume EBS yang dilampirkan ke tugas Anda dengan menggunakan kunci yang dikelola pelanggan, Anda harus mengonfigurasi kebijakan kunci KMS untuk memastikan bahwa peran IAM yang Anda gunakan untuk konfigurasi volume memiliki izin yang diperlukan untuk menggunakan kunci tersebut. Kebijakan utama harus menyertakan kms:CreateGrant dan kms:GenerateDataKey* izin. kms:ReEncryptFromIzin kms:ReEncryptTo dan diperlukan untuk mengenkripsi volume yang dibuat menggunakan snapshot. Jika Anda ingin mengkonfigurasi dan mengenkripsi hanya volume baru yang kosong untuk lampiran, Anda dapat mengecualikan kms:ReEncryptTo dan kms:ReEncryptFrom izin.

Cuplikan JSON berikut menunjukkan pernyataan kebijakan utama yang dapat Anda lampirkan ke kebijakan kunci KMS Anda. Menggunakan pernyataan ini akan memberikan akses bagi Amazon ECS untuk menggunakan kunci untuk mengenkripsi volume EBS. Untuk menggunakan contoh pernyataan kebijakan, ganti user input placeholders dengan informasi Anda sendiri. Seperti biasa, hanya konfigurasikan izin yang Anda butuhkan.

{
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:DescribeKey",
      "Resource":"*"
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": [
      "kms:GenerateDataKey*",
      "kms:ReEncryptTo",
      "kms:ReEncryptFrom"
      ],
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:CreateGrant",
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }

Untuk informasi selengkapnya tentang kebijakan dan izin utama, lihat Kebijakan kunci AWS KMS dan AWS KMS izin di Panduan AWS KMS Pengembang. Untuk mengatasi masalah lampiran volume EBS yang terkait dengan izin kunci, lihat. Memecahkan masalah lampiran volume Amazon EBS ke tugas Amazon ECS