Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Enkripsi EBS Amazon
<a name="ebs-encryption"></a>

Gunakan enkripsi Amazon EBS sebagai solusi enkripsi langsung untuk sumber daya Amazon EBS yang terkait dengan instans Amazon EC2 Anda. Dengan enkripsi Amazon EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi Amazon EBS menggunakan AWS KMS keys saat membuat volume dan snapshot yang terenkripsi.

Operasi enkripsi terjadi pada server yang meng-host instans EC2, memastikan keamanan keduanya data-at-rest dan data-in-transit antara instance dan penyimpanan EBS terlampirnya.

Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan. Semua jenis instans Amazon EC2 mendukung enkripsi Amazon EBS.

**Topics**
+ [Cara kerja enkripsi Amazon EBS](how-ebs-encryption-works.md)
+ [Persyaratan untuk enkripsi Amazon EBS](ebs-encryption-requirements.md)
+ [Aktifkan enkripsi Amazon EBS secara default](encryption-by-default.md)
+ [Enkripsi sumber daya EBS](#encryption-parameters)
+ [Putar AWS KMS tombol yang digunakan untuk enkripsi Amazon EBS](kms-key-rotation.md)
+ [Contoh enkripsi Amazon EBS](encryption-examples.md)

# Cara kerja enkripsi Amazon EBS
<a name="how-ebs-encryption-works"></a>

Anda dapat mengenkripsi volume boot dan data dari instans EC2.

Saat Anda membuat volume EBS terenkripsi dan melampirkannya ke tipe instans yang didukung, tipe data berikut dienkripsi:
+ Data diam di dalam volume
+ Semua data yang bergerak antara volume dan instans
+ Semua snapshot yang dibuat dari volume
+ Semua volume yang dibuat dari snapshot tersebut

Amazon EBS mengenkripsi volume Anda dengan [kunci data menggunakan enkripsi data](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) AES-256 standar industri. Kunci data dihasilkan oleh AWS KMS dan kemudian dienkripsi AWS KMS dengan AWS KMS kunci sebelum disimpan dengan informasi volume Anda. Amazon EBS secara otomatis membuat yang unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda membuat sumber daya Amazon EBS. [Alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) untuk kunci KMS adalah. `aws/ebs` Secara default, Amazon EBS menggunakan kunci KMS ini untuk enkripsi. Atau, Anda dapat menggunakan kunci enkripsi terkelola pelanggan simetris yang Anda buat. Penggunaan kunci KMS sendiri akan memberikan Anda fleksibilitas yang lebih baik, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan kunci KMS.

Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda dengan cara yang sedikit berbeda tergantung pada apakah snapshot dari mana Anda membuat volume terenkripsi dienkripsi atau tidak dienkripsi.

## Cara kerja enkripsi EBS saat snapshot dienkripsi
<a name="how-ebs-encryption-works-encrypted-snapshot"></a>

Saat Anda membuat volume terenkripsi dari snapshot terenkripsi yang Anda miliki, Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

1. Amazon EC2 mengirimkan [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)permintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

1. Jika volume dienkripsi menggunakan kunci KMS yang sama dengan snapshot, AWS KMS gunakan kunci data yang sama dengan snapshot dan mengenkripsinya di bawah kunci KMS yang sama. Jika volume dienkripsi menggunakan kunci KMS yang berbeda, AWS KMS buat kunci data baru dan enkripsi di bawah kunci KMS yang Anda tentukan. Kunci data terenkripsi dikirimkan ke Amazon EBS untuk disimpan dengan metadata volume.

1. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan agar dapat AWS KMS mendekripsi kunci data.

1. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

1. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk ke volume. I/O Kunci data teks biasa tetap ada di memori selama volumenya dipasang pada instans.

## Cara kerja enkripsi EBS saat snapshot yang tidak terenkripsi
<a name="how-ebs-encryption-works-unencrypted-snapshot"></a>

Ketika Anda membuat volume terenkripsi dari snapshot yang tidak terenkripsi yang Anda miliki, Amazon EC2 bekerja dengan AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

1. Amazon EC2 mengirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan ke AWS KMS, sehingga dapat mengenkripsi volume yang dibuat dari snapshot.

1. Amazon EC2 mengirimkan [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)permintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

1. AWS KMS menghasilkan kunci data baru, mengenkripsinya di bawah kunci KMS yang Anda pilih untuk enkripsi volume, dan mengirimkan kunci data terenkripsi ke Amazon EBS untuk disimpan dengan metadata volume.

1. Amazon EC2 mengirimkan permintaan [Dekripsi AWS KMS untuk mendekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) kunci data terenkripsi, yang kemudian digunakan untuk mengenkripsi data volume.

1. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS ke, sehingga dapat mendekripsi kunci data.

1. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS ke, [yang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) menentukan kunci data terenkripsi.

1. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

1. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk ke volume. I/O Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Untuk informasi selengkapnya, lihat [Cara Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) dan [Contoh dua Amazon EC2](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) dalam *Panduan Developer AWS Key Management Service *.

## Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data
<a name="unusable-keys"></a>

Ketika kunci KMS menjadi tidak dapat digunakan, efeknya hampir seketika (tergantung pada konsistensi akhirnya). Status kunci dari perubahan kunci KMS untuk mencerminkan kondisi barunya, dan semua permintaan untuk menggunakan kunci KMS dalam operasi kriptografi gagal.

Saat Anda melakukan tindakan yang membuat kunci KMS tidak dapat digunakan, tidak akan ada efek langsung pada instans EC2 atau volume EBS yang dilampirkan. Amazon EC2 menggunakan kunci data, bukan kunci KMS, untuk mengenkripsi semua disk I/O saat volume dilampirkan ke instance.

Namun, saat volume EBS terenkripsi dicopot dari instans EC2, Amazon EBS menghapus kunci data dari perangkat keras Nitro. Pada saat volume EBS yang terenkripsi dilampirkan ke instans EC2, pelampiran akan gagal karena Amazon EBS tidak dapat menggunakan kunci KMS untuk mendekripsi kunci data terenkripsi dari volume tersebut. Untuk menggunakan volume EBS lagi, Anda harus membuat kunci KMS dapat digunakan lagi.

**Tip**  
Jika Anda tidak lagi menginginkan akses ke data yang disimpan dalam volume EBS yang dienkripsi dengan kunci data yang dihasilkan dari kunci KMS yang ingin Anda buat agar tidak dapat digunakan, sebaiknya copot volume EBS dari instans EC2 sebelum Anda membuat kunci KMS tidak dapat digunakan.

Untuk informasi selengkapnya, lihat [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) di *Panduan Developer AWS Key Management Service *.

# Persyaratan untuk enkripsi Amazon EBS
<a name="ebs-encryption-requirements"></a>

Sebelum memulai, verifikasi bahwa persyaratan berikut dipenuhi.

**Topics**
+ [Tipe volume yang mendukung](#ebs-encryption-volume-types)
+ [Tipe instans yang didukung](#ebs-encryption_supported_instances)
+ [Izin untuk pengguna](#ebs-encryption-permissions)
+ [Izin untuk instans](#ebs-encryption-instance-permissions)

## Tipe volume yang mendukung
<a name="ebs-encryption-volume-types"></a>

Enkripsi mendukung oleh semua tipe volume EBS. Anda dapat mengharapkan performa IOPS yang sama pada volume terenkripsi seperti pada volume yang tidak terenkripsi, dengan efek minimal pada latensi. Anda dapat mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume yang tidak terenkripsi. Enkripsi dan dekripsi ditangani secara transparan, dan tidak memerlukan tindakan tambahan dari Anda atau aplikasi Anda.

## Tipe instans yang didukung
<a name="ebs-encryption_supported_instances"></a>

Enkripsi Amazon EBS tersedia di semua jenis instans [generasi saat ini](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) dan [generasi sebelumnya](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).

## Izin untuk pengguna
<a name="ebs-encryption-permissions"></a>

Bila Anda menggunakan kunci KMS untuk enkripsi EBS, kebijakan kunci KMS memungkinkan setiap pengguna dengan akses ke AWS KMS tindakan yang diperlukan untuk menggunakan kunci KMS ini untuk mengenkripsi atau mendekripsi sumber daya EBS. Anda harus memberikan izin kepada pengguna untuk melakukan tindakan berikut agar dapat menggunakan enkripsi EBS:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`

**Tip**  
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

Untuk informasi selengkapnya, lihat [Mengizinkan akses ke AWS akun dan mengaktifkan kebijakan IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) di bagian **Kebijakan kunci default** di *Panduan AWS Key Management Service Pengembang*.

## Izin untuk instans
<a name="ebs-encryption-instance-permissions"></a>

Saat instans mencoba berinteraksi dengan AMI, volume, atau snapshot terenkripsi, pemberian kunci KMS dikeluarkan untuk peran khusus identitas instans. Peran hanya identitas adalah peran IAM yang digunakan oleh instans untuk berinteraksi dengan enkripsi AMIs, volume, atau snapshot atas nama Anda. 

Peran khusus identitas tidak perlu dibuat atau dihapus secara manual, dan tidak memiliki kebijakan yang terkait dengannya. Selain itu, Anda tidak dapat mengakses kredensial peran khusus identitas.

**catatan**  
Peran khusus identitas tidak digunakan oleh aplikasi pada instans Anda untuk mengakses sumber daya AWS KMS terenkripsi lainnya, seperti objek Amazon S3 atau tabel Dynamo DB. Operasi ini dilakukan dengan menggunakan kredensil peran instans Amazon EC2, atau kredenal AWS lain yang telah Anda konfigurasikan pada instans Anda.

Peran khusus identitas tunduk pada [kebijakan kontrol layanan (SCPs), dan kebijakan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) kunci [KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Jika kunci SCP atau KMS menolak akses peran hanya identitas ke kunci KMS, Anda mungkin gagal meluncurkan instans EC2 dengan volume terenkripsi, atau menggunakan enkripsi atau snapshot. AMIs 

Jika Anda membuat SCP atau kebijakan kunci yang menolak akses berdasarkan lokasi jaringan menggunakan`aws:SourceIp`,,`aws:VpcSourceIp`, atau kunci kondisi `aws:SourceVpce` AWS global`aws:SourceVpc`, maka Anda harus memastikan bahwa pernyataan kebijakan ini tidak berlaku untuk peran khusus instance. Untuk contoh kebijakan, lihat [Contoh Kebijakan Perimeter Data](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).

Peran khusus identitas ARNs menggunakan format berikut:

```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```

Ketika pemberian kunci diberikan kepada sebuah instans, pemberian kunci tersebut dikeluarkan untuk sesi peran yang diasumsikan khusus untuk instans tersebut. ARN pengguna utama penerima menggunakan format berikut:

```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```

# Aktifkan enkripsi Amazon EBS secara default
<a name="encryption-by-default"></a>

Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instans dan snapshot yang Anda salin dari snapshot yang tidak dienkripsi. Untuk contoh transisi dari sumber daya EBS tidak terenkripsi menjadi terenkripsi, lihat [Mengenkripsi sumber daya yang tidak terenkripsi](ebs-encryption.md#encrypt-unencrypted).

Enkripsi secara default tidak berpengaruh pada volume atau snapshot EBS yang ada.

**Pertimbangan-pertimbangan**
+ Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.
+ Enkripsi Amazon EBS secara default didukung pada semua jenis instans [generasi saat ini](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) dan [generasi sebelumnya](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
+ Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.

------
#### [ Console ]

**Untuk mengaktifkan enkripsi secara default untuk Wilayah**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada bilah navigasi, pilih Wilayah.

1. Dari panel navigasi, pilih **Dasbor EC2**.

1. Di sudut kanan atas halaman, pilih **Atribut Akun**, **Perlindungan dan keamanan data**.

1. Di bagian **enkripsi EBS**, pilih **Kelola**.

1. Pilih **Aktifkan**. Anda menyimpan Kunci yang dikelola AWS dengan alias yang `aws/ebs` dibuat atas nama Anda sebagai kunci enkripsi default, atau memilih kunci enkripsi terkelola pelanggan simetris.

1. Pilih **Perbarui enkripsi EBS**.

------
#### [ AWS CLI ]

**Untuk melihat pengaturan enkripsi secara default**

Gunakan perintah [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html).
+ Untuk Wilayah tertentu

  ```
  aws ec2 get-ebs-encryption-by-default --region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
  do
      default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

**Untuk mengaktifkan enkripsi secara default**

Gunakan perintah [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Untuk Wilayah tertentu

  ```
  aws ec2 enable-ebs-encryption-by-default --region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

**Untuk menonaktifkan enkripsi secara default**

Gunakan perintah [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Untuk Wilayah tertentu

  ```
  aws ec2 disable-ebs-encryption-by-default --region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done
  ```

------
#### [ PowerShell ]

**Untuk melihat pengaturan enkripsi secara default**

Gunakan [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html)cmdlet.
+ Untuk Wilayah tertentu

  ```
  Get-EC2EbsEncryptionByDefault -Region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object {
      [PSCustomObject]@{ 
          Region                    = $_
          EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

**Untuk mengaktifkan enkripsi secara default**

Gunakan [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html)cmdlet.
+ Untuk Wilayah tertentu

  ```
  Enable-EC2EbsEncryptionByDefault -Region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_
          EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

**Untuk menonaktifkan enkripsi secara default**

Gunakan [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html)cmdlet.
+ Untuk Wilayah tertentu

  ```
  Disable-EC2EbsEncryptionByDefault -Region region
  ```
+ Untuk semua Wilayah di akun Anda

  ```
  (Get-EC2Region).RegionName |
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_
          EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |
      Format-Table -AutoSize
  ```

------

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

## Enkripsi sumber daya EBS
<a name="encryption-parameters"></a>

Anda mengenkripsi volume EBS dengan mengaktifkan enkripsi, menggunakan [enkripsi secara default](encryption-by-default.md) atau dengan mengaktifkan enkripsi saat Anda membuat volume yang ingin Anda enkripsi.

Saat Anda mengenkripsi volume, Anda dapat menentukan kunci KMS enkripsi simetris untuk mengenkripsi volume. Jika Anda tidak menentukan kunci KMS, kunci KMS yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya. Untuk informasi selengkapnya, lihat [tabel hasil enkripsi](encryption-examples.md#ebs-volume-encryption-outcomes).

**catatan**  
Jika Anda menggunakan API atau AWS CLI untuk menentukan kunci KMS, ketahuilah bahwa AWS mengautentikasi kunci KMS secara asinkron. Jika Anda menentukan ID kunci KMS, suatu alias, atau ARN yang tidak valid, tindakan dapat muncul untuk diselesaikan, tetapi akhirnya akan gagal.

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot atau volume yang ada. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

### Enkripsi volume kosong pada saat pembuatan
<a name="new-encrypted-volumes"></a>

Saat Anda membuat volume EBS baru yang kosong, Anda dapat mengenkripsinya dengan mengaktifkan enkripsi untuk operasi pembuatan volume tertentu. Jika Anda mengaktifkan enkripsi EBS secara default, volume akan dienkripsi secara otomatis menggunakan kunci KMS default untuk enkripsi EBS. Sebagai alternatif, Anda dapat menentukan kunci KMS enkripsi simetris yang berbeda untuk operasi pembuatan volume spesifik. Volume dienkripsi saat pertama kali tersedia, sehingga data Anda selalu aman. Untuk prosedur terperinci, lihat [Buat volume Amazon EBS](ebs-creating-volume.md).

Secara default, kunci KMS yang Anda pilih saat membuat volume mengenkripsi snapshot yang Anda buat dari volume dan volume yang Anda pulihkan dari snapshot yang dienkripsi tersebut. Anda tidak dapat menghapus enkripsi dari volume atau snapshot terenkripsi, yang berarti bahwa volume yang dipulihkan dari snapshot terenkripsi, atau salinan snapshot terenkripsi, selalu dienkripsi.

Snapshot publik dari volume terenkripsi tidak didukung, tetapi Anda dapat berbagi snapshot terenkripsi dengan akun tertentu. Untuk petunjuk terperinci, lihat [Bagikan snapshot Amazon EBS dengan akun lain AWS](ebs-modifying-snapshot-permissions.md).

### Mengenkripsi sumber daya yang tidak terenkripsi
<a name="encrypt-unencrypted"></a>

Anda tidak dapat langsung mengenkripsi volume atau snapshot yang tidak terenkripsi yang ada.

Untuk mengenkripsi volume yang tidak terenkripsi, buat snapshot dari volume itu, lalu gunakan snapshot untuk membuat volume terenkripsi baru. Untuk informasi selengkapnya, lihat [Membuat snapshot](ebs-create-snapshot.md) dan [Membuat volume](ebs-creating-volume.md).

Untuk mengenkripsi snapshot yang tidak terenkripsi, buat salinan terenkripsi dari snapshot itu. Untuk informasi selengkapnya, lihat [Menyalin snapshot](ebs-copy-snapshot.md).

Jika Anda mengaktifkan akun Anda untuk enkripsi secara default, volume dan salinan snapshot yang dibuat dari snapshot yang tidak terenkripsi selalu dienkripsi. Jika tidak, Anda harus menentukan parameter enkripsi dalam permintaan. Untuk informasi selengkapnya, lihat [Aktifkan enkripsi secara default](encryption-by-default.md).

# Putar AWS KMS tombol yang digunakan untuk enkripsi Amazon EBS
<a name="kms-key-rotation"></a>

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif.

Untuk membuat materi kriptografi baru untuk digunakan dengan enkripsi Amazon EBS, Anda dapat membuat kunci terkelola pelanggan baru, dan kemudian mengubah aplikasi Anda untuk menggunakan kunci KMS baru itu. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci terkelola pelanggan yang ada.

Saat Anda mengaktifkan rotasi kunci otomatis untuk kunci yang dikelola pelanggan, AWS KMS hasilkan materi kriptografi baru untuk kunci KMS setiap tahun. AWS KMS menyimpan semua versi sebelumnya dari materi kriptografi sehingga Anda dapat terus mendekripsi dan menggunakan volume dan snapshot yang sebelumnya dienkripsi dengan materi kunci KMS tersebut. AWS KMS tidak menghapus materi kunci yang diputar sampai Anda menghapus kunci KMS.

Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mengenkripsi volume atau snapshot baru, AWS KMS gunakan materi kunci (baru) saat ini. Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mendekripsi volume atau snapshot, AWS KMS gunakan versi materi kriptografi yang digunakan untuk mengenkripsi itu. Jika volume atau snapshot dienkripsi dengan versi sebelumnya dari materi kriptografi, AWS KMS terus gunakan versi sebelumnya untuk mendekripsi itu. AWS KMS tidak mengenkripsi ulang volume atau snapshot yang sebelumnya dienkripsi untuk menggunakan materi kriptografi baru setelah rotasi kunci. Mereka tetap dienkripsi dengan bahan kriptografi yang awalnya dienkripsi. Anda dapat dengan aman menggunakan kunci terkelola pelanggan yang diputar dalam aplikasi dan AWS layanan tanpa perubahan kode.

**catatan**  
Rotasi kunci otomatis hanya didukung untuk kunci yang dikelola pelanggan simetris dengan materi utama yang AWS KMS dibuat.
AWS KMS secara otomatis berputar Kunci yang dikelola AWS setiap tahun. Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci yang dikelola AWS.

Untuk informasi selengkapnya, lihat [Merotasi kunci KMS](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) di *Panduan Developer AWS Key Management Service *.

# Contoh enkripsi Amazon EBS
<a name="encryption-examples"></a>

Saat Anda membuat sumber daya EBS terenkripsi, sumber daya tersebut dienkripsi dengan kunci KMS default akun Anda untuk enkripsi EBS kecuali Anda menentukan kunci yang dikelola pelanggan yang berbeda dalam parameter pembuatan volume atau pemetaan perangkat blok untuk AMI atau instans.

Contoh berikut ini menggambarkan cara mengelola status enkripsi volume dan snapshot Anda. Untuk daftar lengkap kasus enkripsi, lihat [tabel hasil enkripsi](#ebs-volume-encryption-outcomes).

**Topics**
+ [Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)](#volume-account-off)
+ [Mengembalikan volume yang tidak terenkripsi (enkripsi secara default diaktifkan)](#volume-account-on)
+ [Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)](#snapshot-account-off)
+ [Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)](#snapshot-account-on)
+ [Mengenkripsi ulang volume yang dienkripsi](#reencrypt-volume)
+ [Mengenkripsi ulang snapshot yang dienkripsi](#reencrypt-snapshot)
+ [Memigrasikan data antara volume terenkripsi dan tidak terenkripsi](#migrate-data-encrypted-unencrypted)
+ [Hasil enkripsi](#ebs-volume-encryption-outcomes)

## Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
<a name="volume-account-off"></a>

Tanpa enkripsi yang diaktifkan secara default, volume yang dipulihkan dari snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi volume yang dihasilkan dengan mengatur `Encrypted` dan, secara opsional, `KmsKeyId` parameter. Diagram berikut menggambarkan prosesnya.

![\[Saat Anda membuat volume dari snapshot yang tidak terenkripsi, tentukan kunci KMS untuk membuat volume terenkripsi.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/volume-encrypt-account-off.png)


Jika Anda meninggalkan parameter `KmsKeyId`, volume yang dihasilkan dienkripsi menggunakan kunci KMS default Anda untuk enkripsi EBS. Anda harus menentukan ID kunci KMS untuk mengenkripsi volume ke kunci KMS yang berbeda.

Untuk informasi selengkapnya, lihat [Buat volume Amazon EBS](ebs-creating-volume.md).

## Mengembalikan volume yang tidak terenkripsi (enkripsi secara default diaktifkan)
<a name="volume-account-on"></a>

Jika Anda telah mengaktifkan enkripsi secara default, enkripsi wajib dilakukan untuk volume yang dipulihkan dari snapshot yang tidak terenkripsi, dan tidak ada parameter enkripsi yang diperlukan agar kunci KMS default Anda dapat digunakan. Diagram berikut menunjukkan kasus default sederhana ini:

![\[Saat Anda membuat volume dari snapshot yang tidak terenkripsi tetapi enkripsi secara default diaktifkan, kami menggunakan kunci KMS default untuk membuat volume terenkripsi.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/volume-encrypt-account-on.png)


Jika Anda ingin mengenkripsi volume yang dipulihkan ke kunci enkripsi yang dikelola pelanggan simetris, Anda harus menyediakan `Encrypted` dan `KmsKeyId` parameter seperti ditunjukkan dalam [Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)](#volume-account-off).

## Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
<a name="snapshot-account-off"></a>

Tanpa enkripsi yang diaktifkan secara default, salinan snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi snapshot yang dihasilkan dengan mengatur parameter `Encrypted` dan, secara opsional, parameter `KmsKeyId`. Jika Anda menghilangkan `KmsKeyId`, snapshot yang dihasilkan dienkripsi oleh kunci KMS default Anda. Anda harus menentukan ID kunci KMS untuk mengenkripsi volume ke kunci KMS enkripsi simetris yang berbeda.

Diagram berikut menggambarkan prosesnya.

![\[Buat snapshot terenkripsi dari snapshot yang tidak dienkripsi.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)


Anda dapat mengenkripsi volume EBS dengan menyalin snapshot yang tidak dienkripsi ke snapshot yang dienkripsi, lalu membuat volume dari snapshot yang dienkripsi. Untuk informasi selengkapnya, lihat [Menyalin snapshot Amazon EBS](ebs-copy-snapshot.md).

## Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
<a name="snapshot-account-on"></a>

Ketika Anda telah mengaktifkan enkripsi secara default, enkripsi diwajibkan untuk salinan snapshot yang tidak dienkripsi, dan tidak ada parameter enkripsi yang diperlukan jika kunci KMS default Anda digunakan. Diagram berikut menggambarkan kasus default ini:

![\[Buat snapshot terenkripsi dari snapshot yang tidak dienkripsi.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)


## Mengenkripsi ulang volume yang dienkripsi
<a name="reencrypt-volume"></a>

Saat tindakan `CreateVolume` beroperasi pada snapshot terenkripsi, Anda memiliki opsi mengenkripsi ulang kunci KMS yang berbeda. Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua kunci KMS, kunci KMS A dan kunci KMS B. Snapshot sumber dienkripsi oleh kunci KMS A. Selama pembuatan volume, dengan ID kunci KMS dari kunci KMS B ditentukan sebagai parameter, data sumber adalah didekripsi secara otomatis, kemudian dienkripsi ulang dengan kunci KMS B.

![\[Salin snapshot terenkripsi dan enkripsi salinan ke kunci KMS baru.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/volume-reencrypt.png)


Untuk informasi selengkapnya, lihat [Buat volume Amazon EBS](ebs-creating-volume.md).

## Mengenkripsi ulang snapshot yang dienkripsi
<a name="reencrypt-snapshot"></a>

Kemampuan untuk mengenkripsi snapshot selama penyalinan memungkinkan Anda menerapkan kunci KMS enkripsi simetris baru ke snapshot yang sudah terenkripsi yang Anda miliki. Volume yang dipulihkan dari salinan hasil hanya dapat diakses menggunakan kunci KMS baru. Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua kunci KMS, kunci KMS A dan kunci KMS B. Snapshot sumber dienkripsi oleh kunci KMS A. Selama penyalinan, dengan ID kunci KMS dari kunci KMS B ditentukan sebagai parameter, data sumber secara otomatis dienkripsi ulang dengan kunci KMS B.

![\[Salin snapshot terenkripsi dan enkripsi salinan ke kunci KMS baru.\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/images/snap-reencrypt.png)


Dalam skenario terkait, Anda dapat memilih untuk menerapkan parameter enkripsi baru ke salinan snapshot yang telah dibagikan dengan Anda. Secara default, salinan tersebut dienkripsi dengan kunci KMS yang dibagikan oleh pemilik snapshot. Namun, sebaiknya buat salinan snapshot yang dibagikan menggunakan kunci KMS lain yang Anda kontrol. Hal ini melindungi akses Anda ke volume jika kunci KMS awal terancam, atau jika pemilik mencabut kunci KMS karena alasan apa pun. Untuk informasi selengkapnya, lihat [Enkripsi dan penyalinan snapshot](ebs-copy-snapshot.md#creating-encrypted-snapshots).

## Memigrasikan data antara volume terenkripsi dan tidak terenkripsi
<a name="migrate-data-encrypted-unencrypted"></a>

Saat Anda memiliki akses ke volume terenkripsi dan tidak terenkripsi, Anda dapat dengan bebas mentransfer data di antara keduanya. EC2 menjalankan operasi enkripsi dan dekripsi secara transparan.

### Instans Linux
<a name="migrate-data-encrypted-unencrypted-lin"></a>

Misalnya, gunakan perintah **rsync** untuk menyalin data. Dalam perintah berikut, data sumber terletak di `/mnt/source` dan volume tujuan dipasang pada `/mnt/destination`.

```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```

### Instans Windows
<a name="migrate-data-encrypted-unencrypted-win"></a>

Misalnya, gunakan perintah **robocopy** untuk menyalin data. Dalam perintah berikut, data sumber terletak di `D:\` dan volume tujuan dipasang pada `E:\`.

```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```

Kami menyarankan untuk menyalin dari folder, daripada seluruh volume, untuk menghindari potensi masalah dari folder tersembunyi.

## Hasil enkripsi
<a name="ebs-volume-encryption-outcomes"></a>



Tabel berikut menjelaskan hasil enkripsi untuk setiap kombinasi pengaturan yang memungkinkan.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ebs/latest/userguide/encryption-examples.html)

\$1 Ini adalah kunci terkelola pelanggan default yang digunakan untuk enkripsi EBS untuk AWS akun dan Wilayah. Secara default, ini adalah unik Kunci yang dikelola AWS untuk EBS, atau Anda dapat menentukan kunci yang dikelola pelanggan.

\$1\$1 Ini adalah kunci yang dikelola pelanggan yang ditentukan untuk volume saat waktu peluncuran. Kunci yang dikelola pelanggan ini digunakan sebagai pengganti kunci terkelola pelanggan default untuk AWS akun dan Wilayah.