Come funziona la crittografia Amazon EBS - Amazon EBS
Funzionamento della crittografia EBS quando lo snapshot è crittografatoFunzionamento della crittografia EBS quando lo snapshot non è crittografatoIn che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona la crittografia Amazon EBS

Puoi crittografare entrambi i volumi di avvio e di dati di un'istanza EC2.

Quando crei un volume EBS crittografato e lo colleghi a un tipo di istanza supportato, vengono crittografati i seguenti tipi di dati:

  • Dati inattivi all'interno del volume.

  • Tutti i dati in movimento tra il volume e l'istanza.

  • Tutti gli snapshot creati dal volume

  • Tutti i volumi creati da quegli snapshot

Amazon EBS crittografa il volume con una chiave dati utilizzando la crittografia dei dati AES-256 standard di settore. La chiave dati viene generata AWS KMS e quindi crittografata AWS KMS con una AWS KMS chiave prima di essere archiviata con le informazioni sul volume. Amazon EBS ne crea automaticamente una unica Chiave gestita da AWS in ogni regione in cui crei risorse Amazon EBS. L'alias per la chiave KMS è. aws/ebs Per impostazione predefinita, Amazon EBS utilizza questa Chiave KMS per la crittografia. In alternativa, puoi utilizzare una chiave di crittografia simmetrica gestita dal cliente che crei. L'utilizzo di una propria Chiave KMS offre una maggiore flessibilità che include la possibilità di creare, ruotare e disabilitare Chiavi KMS.

Amazon EC2 consente di AWS KMS crittografare e decrittografare i volumi EBS in modi leggermente diversi a seconda che lo snapshot da cui si crea un volume crittografato sia crittografato o meno.

Funzionamento della crittografia EBS quando lo snapshot è crittografato

Quando crei un volume crittografato da uno snapshot crittografato di tua proprietà, Amazon EC2 utilizza Amazon EC2 per crittografare e decrittografare AWS KMS i tuoi volumi EBS nel modo seguente:

  1. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.

  2. Se il volume è crittografato utilizzando la stessa chiave KMS dell'istantanea, AWS KMS utilizza la stessa chiave dati dell'istantanea e la cripta con la stessa chiave KMS. Se il volume è crittografato utilizzando una chiave KMS diversa, AWS KMS genera una nuova chiave dati e la crittografa con la chiave KMS specificata. La chiave di dati crittografata viene inviata ad Amazon EBS per l'archiviazione con i metadati del volume.

  3. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS in modo che possa decrittografare la chiave dati.

  4. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.

  5. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare il disco sul volume. I/O La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza.

Funzionamento della crittografia EBS quando lo snapshot non è crittografato

Quando si crea un volume crittografato da uno snapshot non crittografato, Amazon EC2 utilizza AWS KMS per crittografare e decrittare i volumi EBS come segue:

  1. Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa crittografare il volume creato dallo snapshot.

  2. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.

  3. AWS KMS genera una nuova chiave dati, la crittografa con la chiave KMS scelta per la crittografia del volume e invia la chiave dati crittografata ad Amazon EBS per essere archiviata con i metadati del volume.

  4. Amazon EC2 invia una richiesta Decrypt per decrittografare la chiave dati crittografata, che utilizza quindi AWS KMS per crittografare i dati del volume.

  5. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa decrittografare la chiave dati.

  6. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una richiesta Decrypt a AWS KMS, specificando la chiave dei dati crittografati.

  7. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.

  8. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare il disco sul volume. I/O La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza..

Per ulteriori informazioni, consulta Come Amazon Elastic Block Store (Amazon EBS) utilizza AWS KMS ed Esempio due Amazon EC2 nella Guida per gli sviluppatori di AWS Key Management Service .

In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati

Quando una chiave KMS diventa inutilizzabile, l'effetto è quasi immediato (in base alla coerenza finale). Lo stato della chiave KMS si modifica per riflettere la nuova condizione e tutte le richieste di utilizzo della chiave KMS nelle operazioni di crittografia hanno esito negativo.

Quando si esegue un'operazione che rende la chiave KMS inutilizzabile, non vi è alcun effetto immediato sull'istanza EC2 o sui volumi EBS collegati. Amazon EC2 utilizza la chiave dati, non la chiave KMS, per crittografare tutto il disco I/O mentre il volume è collegato all'istanza.

Tuttavia, quando il volume EBS crittografato è scollegato dall'istanza EC2, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il volume EBS crittografato viene collegato a un'istanza EC2, il collegamento ha esito negativo, poiché Amazon EBS non è in grado di utilizzare la chiave KMS per decrittare la chiave di dati crittografati del volume. Per utilizzare di nuovo il volume EBS, devi rendere utilizzabile la chiave KMS.

Suggerimento

Se non desideri più accedere ai dati archiviati in un volume EBS crittografato con una chiave dati generata da una chiave KMS che intendi rendere inutilizzabile, consigliamo di scollegare il volume EBS dall'istanza EC2 prima di rendere la chiave KMS inutilizzabile.

Per ulteriori informazioni, consulta In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati nella Guida per gli sviluppatori di AWS Key Management Service .