As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Requisitos da criptografia do Amazon EBS
Antes de começar, verifique se os seguintes requisitos foram atendidos.
Requisitos
Tipos de volume compatíveis
A criptografia é compatível com todos os tipos de volume do EBS. É possível esperar a mesma performance de IOPS dos volumes não criptografados nos volumes criptografados, com efeito mínimo na latência. É possível acessar volumes criptografados da mesma forma que acessa volumes não criptografados. A criptografia e a descriptografia são tratadas de forma transparente e não requerem nenhuma ação adicional de sua parte e de suas aplicações.
Tipos de instâncias compatíveis
A criptografia do Amazon EBS está disponível em todos os tipos de instância da geração atual e da geração anterior.
Permissões para usuário
Quando você usa uma chave KMS para criptografia do EBS, a política de chaves do KMS permite que qualquer usuário com acesso às AWS KMS ações necessárias use essa chave do KMS para criptografar ou descriptografar recursos do EBS. É necessário conceder aos usuários do IAM a permissão para chamar as seguintes ações para usar a criptografia do EBS:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt
dica
Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de kms:GrantIsForAWSResource condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.
Para obter mais informações, consulte Permite acesso à AWS conta e ativa políticas do IAM na seção Política de chaves padrão no Guia do AWS Key Management Service desenvolvedor.
Permissões para instâncias
Quando uma instância tenta interagir com uma AMI, volume ou snapshot criptografado, uma concessão de chave do KMS é emitida para o perfil somente de identidade da instância. O perfil somente de identidade é um perfil do IAM usado pela instância para interagir com AMIs, volumes ou snapshots criptografados em seu nome.
Identity-only as funções não precisam ser criadas ou excluídas manualmente e não têm políticas associadas a elas. Além disso, não é possível acessar as credenciais do perfil somente de identidade.
nota
Identity-only as funções não são usadas pelos aplicativos em sua instância para acessar outros recursos AWS KMS criptografados, como objetos do Amazon S3 ou tabelas do Dynamo DB. Essas operações são feitas usando as credenciais de uma função de instância do Amazon EC2 ou AWS outras credenciais que você configurou na sua instância.
Identity-only as funções estão sujeitas às políticas de controle de serviços (SCPs) e às políticas de chaves do KMS. Se uma chave do SCP ou KMS negar ao perfil somente de identidade o acesso a uma chave do KMS, talvez você não consiga iniciar instâncias do EC2 com volumes criptografados ou usar AMIs ou snapshots criptografados.
Se você estiver criando um SCP ou uma política de chaves que negue o acesso com base na localização da rede usando as chaves de condição aws:SourceIp aws:VpcSourceIpaws:SourceVpc,, ou aws:SourceVpce AWS globais, certifique-se de que essas declarações de política não se apliquem às funções somente de instância. Para obter exemplos de políticas, consulte Exemplos de políticas de perímetros de dados
Identity-only Os ARNs de função usam o seguinte formato:
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
Quando uma concessão de chave é emitida para uma instância, a concessão de chave é emitida para a sessão do perfil assumido específica dessa instância. O ARN principal do beneficiário usa o seguinte formato:
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
