Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Requisiti per la crittografia Amazon EBS
Prima di iniziare, verificare che i seguenti requisiti siano soddisfatti.
Requisiti
Tipi di volumi supportati
La crittografia è supportata da tutti i tipi di volume EBS. Sono previste le stesse prestazioni IOPS su volumi crittografati e su volumi non crittografati, con un effetto minimo sulla latenza. È possibile accedere ai volumi crittografati nello stesso modo in cui accedi a volumi non crittografati. La crittografia e la decrittografia sono gestite in modo trasparente e non richiedono alcuna operazione aggiuntiva da parte dell'utente o delle applicazioni.
Tipi di istanze supportati
La crittografia Amazon EBS è disponibile su tutti i tipi di istanze di generazione attuale e precedente.
Autorizzazioni del per gli utenti
Quando utilizzi una chiave KMS per la crittografia EBS, la policy delle chiavi KMS consente a qualsiasi utente con accesso alle AWS KMS azioni richieste di utilizzare questa chiave KMS per crittografare o decrittografare le risorse EBS. Per utilizzare la crittografia su EBS è necessario concedere agli utenti l'autorizzazione per richiamare le seguenti operazioni:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
Suggerimento
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave di kms:GrantIsForAWSResource condizione per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio, come illustrato nell'esempio seguente. AWS
Per ulteriori informazioni, consulta Consente l'accesso all' AWS account e abilita le politiche IAM nella sezione Default key policy della AWS Key Management Service Developer Guide.
Autorizzazioni per le istanze
Quando un'istanza tenta di interagire con un'AMI crittografata, un volume o uno snapshot, viene rilasciata la concessione di una chiave KMS al ruolo di sola identità dell'istanza. Il ruolo di sola identità è un ruolo IAM utilizzato dall'istanza per interagire con volumi o istantanee crittografati AMIs per tuo conto.
I ruoli di sola identità non devono essere creati o eliminati manualmente e non sono associati a criteri. Inoltre, non puoi accedere alle credenziali dei ruoli di sola identità.
Nota
I ruoli di sola identità non vengono utilizzati dalle applicazioni sull'istanza per accedere ad altre risorse AWS KMS crittografate, come oggetti Amazon S3 o tabelle Dynamo DB. Queste operazioni vengono eseguite utilizzando le credenziali di un ruolo di EC2 istanza Amazon o altre AWS credenziali che hai configurato sulla tua istanza.
I ruoli basati sulla sola identità sono soggetti alle politiche di controllo del servizio (SCPs) e alle politiche chiave KMS. Se una chiave SCP o KMS nega al ruolo di sola identità l'accesso a una chiave KMS, potresti non riuscire ad avviare EC2 istanze con volumi crittografati o che utilizzano copie crittografate o istantanee. AMIs
Se stai creando un SCP o una politica chiave che nega l'accesso in base alla posizione della rete utilizzando le chiavi,, o aws:SourceVpce AWS globali aws:SourceIp aws:VpcSourceIpaws:SourceVpc, devi assicurarti che queste istruzioni non si applichino ai ruoli relativi alle sole istanze. Per esempi di policy, consulta Esempi di policy del perimetro di dati
I ruoli di sola identità utilizzano il seguente formato: ARNs
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
Quando viene rilasciata una concessione di chiave a un'istanza, la concessione della chiave viene rilasciata alla sessione del ruolo assunto specifica per quell'istanza. L'ARN principale dell'assegnatario utilizza il seguente formato:
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
