Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografa i dati archiviati nei volumi Amazon EBS collegati alle attività di Amazon ECS
Puoi usare AWS Key Management Service (AWS KMS) per creare e gestire chiavi crittografiche che proteggono i tuoi dati. I volumi Amazon EBS vengono crittografati quando sono inattivi utilizzando AWS KMS keys. I seguenti tipi di dati sono crittografati:
-
Dati archiviati inattivi sul volume
-
I/O del disco
-
Istantanee create dal volume
-
Nuovi volumi creati da istantanee crittografate
I volumi Amazon EBS collegati alle attività possono essere crittografati utilizzando un alias alias/aws/ebs predefinito Chiave gestita da AWS o una chiave simmetrica gestita dal cliente specificata nella configurazione del volume. Chiavi gestite da AWS I valori predefiniti sono unici Account AWS per ciascun utente Regione AWS e vengono creati automaticamente. Per creare una chiave simmetrica gestita dal cliente, segui i passaggi descritti in Creazione di chiavi KMS con crittografia simmetrica nella Guida per gli sviluppatori.AWS KMS
Puoi configurare la crittografia Amazon EBS per impostazione predefinita in modo che tutti i nuovi volumi creati e collegati a un'attività in una determinata operazione Regione AWS vengano crittografati utilizzando la chiave KMS specificata per il tuo account. Per ulteriori informazioni sulla crittografia e la crittografia di Amazon EBS per impostazione predefinita, consulta Amazon EBS encryption nella Amazon EBS User Guide.
Puoi anche configurare la crittografia a livello di cluster Amazon ECS per lo storage gestito di Amazon ECS quando crei o aggiorni un cluster. La crittografia a livello di cluster può essere utilizzata per crittografare tutti i volumi Amazon EBS collegati alle attività in esecuzione in un cluster specifico utilizzando la chiave KMS specificata a livello di cluster. Per ulteriori informazioni sulla configurazione della crittografia a livello di cluster, consulta il riferimento ManagedStorageConfigurationalle API di Amazon ECS.
Puoi configurare qualsiasi combinazione di queste chiavi. L'ordine di precedenza delle chiavi KMS è il seguente:
-
La chiave KMS specificata nella configurazione del volume. Quando si specifica una chiave KMS nella configurazione del volume, questa sostituisce l'impostazione predefinita di Amazon EBS e qualsiasi chiave KMS specificata a livello di cluster.
-
La chiave KMS specificata a livello di cluster. Quando si specifica una chiave KMS per la crittografia a livello di cluster dello storage gestito di Amazon ECS, questa sostituisce la crittografia predefinita di Amazon EBS ma non sostituisce alcuna chiave KMS specificata nella configurazione del volume.
-
Crittografia predefinita di Amazon EBS. La crittografia predefinita si applica quando non si specifica né una chiave KMS a livello di cluster né una chiave nella configurazione del volume. Se abiliti la crittografia Amazon EBS per impostazione predefinita, l'impostazione predefinita è la chiave KMS specificata per la crittografia di default. Altrimenti, l'impostazione predefinita è Chiave gestita da AWS con l'alias.
alias/aws/ebsNota
Se lo
encryptedimpostifalsenella configurazione del volume, non specifichi alcuna chiave KMS a livello di cluster e abiliti la crittografia Amazon EBS per impostazione predefinita, il volume verrà comunque crittografato con la chiave specificata per la crittografia Amazon EBS per impostazione predefinita.
Politica delle chiavi KMS gestita dal cliente
Per crittografare un volume EBS collegato all'attività utilizzando una chiave gestita dal cliente, è necessario configurare la politica delle chiavi KMS per garantire che il ruolo IAM utilizzato per la configurazione del volume disponga delle autorizzazioni necessarie per utilizzare la chiave. La policy chiave deve includere le autorizzazioni e. kms:CreateGrant kms:GenerateDataKey* Le kms:ReEncryptFrom autorizzazioni kms:ReEncryptTo e sono necessarie per crittografare i volumi creati utilizzando le istantanee. Se desideri configurare e crittografare solo nuovi volumi vuoti da allegare, puoi escludere le autorizzazioni and. kms:ReEncryptTo kms:ReEncryptFrom
Il seguente frammento di codice JSON mostra le principali dichiarazioni politiche che puoi allegare alla tua politica chiave KMS. L'utilizzo di queste istruzioni consentirà ad Amazon ECS di utilizzare la chiave per crittografare il volume EBS. Per utilizzare le dichiarazioni politiche di esempio, sostituiscile user input placeholders
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:DescribeKey", "Resource":"*" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": [ "kms:GenerateDataKey*", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:CreateGrant", "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" }, "Bool": { "kms:GrantIsForAWSResource": true } } }
Per ulteriori informazioni sulle politiche e le autorizzazioni chiave, consulta Politiche chiave AWS KMS e AWS KMS autorizzazioni nella Guida per gli AWS KMS sviluppatori. Per la risoluzione dei problemi relativi agli allegati dei volumi EBS relativi alle autorizzazioni chiave, consulta. Risoluzione dei problemi relativi ai volumi Amazon EBS allegati alle attività di Amazon ECS
