Cara kerja enkripsi Amazon EBS - Amazon EBS
Cara kerja enkripsi EBS saat snapshot dienkripsiCara kerja enkripsi EBS saat snapshot yang tidak terenkripsiBagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja enkripsi Amazon EBS

Anda dapat mengenkripsi volume boot dan data dari instans EC2.

Saat Anda membuat volume EBS terenkripsi dan melampirkannya ke tipe instans yang didukung, tipe data berikut dienkripsi:

  • Data diam di dalam volume

  • Semua data yang bergerak antara volume dan instans

  • Semua snapshot yang dibuat dari volume

  • Semua volume yang dibuat dari snapshot tersebut

Amazon EBS mengenkripsi volume Anda dengan kunci data menggunakan enkripsi data AES-256 standar industri. Kunci data dihasilkan oleh AWS KMS dan kemudian dienkripsi AWS KMS dengan AWS KMS kunci sebelum disimpan dengan informasi volume Anda. Amazon EBS secara otomatis membuat yang unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda membuat sumber daya Amazon EBS. Alias untuk kunci KMS adalah. aws/ebs Secara default, Amazon EBS menggunakan kunci KMS ini untuk enkripsi. Atau, Anda dapat menggunakan kunci enkripsi terkelola pelanggan simetris yang Anda buat. Penggunaan kunci KMS sendiri akan memberikan Anda fleksibilitas yang lebih baik, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan kunci KMS.

Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda dengan cara yang sedikit berbeda tergantung pada apakah snapshot dari mana Anda membuat volume terenkripsi dienkripsi atau tidak dienkripsi.

Cara kerja enkripsi EBS saat snapshot dienkripsi

Saat Anda membuat volume terenkripsi dari snapshot terenkripsi yang Anda miliki, Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  2. Jika volume dienkripsi menggunakan kunci KMS yang sama dengan snapshot, AWS KMS gunakan kunci data yang sama dengan snapshot dan mengenkripsinya di bawah kunci KMS yang sama. Jika volume dienkripsi menggunakan kunci KMS yang berbeda, AWS KMS buat kunci data baru dan enkripsi di bawah kunci KMS yang Anda tentukan. Kunci data terenkripsi dikirimkan ke Amazon EBS untuk disimpan dengan metadata volume.

  3. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan agar dapat AWS KMS mendekripsi kunci data.

  4. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  5. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk ke volume. I/O Kunci data teks biasa tetap ada di memori selama volumenya dipasang pada instans.

Cara kerja enkripsi EBS saat snapshot yang tidak terenkripsi

Ketika Anda membuat volume terenkripsi dari snapshot yang tidak terenkripsi yang Anda miliki, Amazon EC2 bekerja dengan AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan CreateGrantpermintaan ke AWS KMS, sehingga dapat mengenkripsi volume yang dibuat dari snapshot.

  2. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  3. AWS KMS menghasilkan kunci data baru, mengenkripsinya di bawah kunci KMS yang Anda pilih untuk enkripsi volume, dan mengirimkan kunci data terenkripsi ke Amazon EBS untuk disimpan dengan metadata volume.

  4. Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS untuk mendekripsi kunci data terenkripsi, yang kemudian digunakan untuk mengenkripsi data volume.

  5. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan AWS KMS ke, sehingga dapat mendekripsi kunci data.

  6. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS ke, yang menentukan kunci data terenkripsi.

  7. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  8. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi disk ke volume. I/O Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Untuk informasi selengkapnya, lihat Cara Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS dan Contoh dua Amazon EC2 dalam Panduan Developer AWS Key Management Service .

Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data

Ketika kunci KMS menjadi tidak dapat digunakan, efeknya hampir seketika (tergantung pada konsistensi akhirnya). Status kunci dari perubahan kunci KMS untuk mencerminkan kondisi barunya, dan semua permintaan untuk menggunakan kunci KMS dalam operasi kriptografi gagal.

Saat Anda melakukan tindakan yang membuat kunci KMS tidak dapat digunakan, tidak akan ada efek langsung pada instans EC2 atau volume EBS yang dilampirkan. Amazon EC2 menggunakan kunci data, bukan kunci KMS, untuk mengenkripsi semua disk I/O saat volume dilampirkan ke instance.

Namun, saat volume EBS terenkripsi dicopot dari instans EC2, Amazon EBS menghapus kunci data dari perangkat keras Nitro. Pada saat volume EBS yang terenkripsi dilampirkan ke instans EC2, pelampiran akan gagal karena Amazon EBS tidak dapat menggunakan kunci KMS untuk mendekripsi kunci data terenkripsi dari volume tersebut. Untuk menggunakan volume EBS lagi, Anda harus membuat kunci KMS dapat digunakan lagi.

Tip

Jika Anda tidak lagi menginginkan akses ke data yang disimpan dalam volume EBS yang dienkripsi dengan kunci data yang dihasilkan dari kunci KMS yang ingin Anda buat agar tidak dapat digunakan, sebaiknya copot volume EBS dari instans EC2 sebelum Anda membuat kunci KMS tidak dapat digunakan.

Untuk informasi selengkapnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data di Panduan Developer AWS Key Management Service .