本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon EBS 加密
<a name="ebs-encryption"></a>

使用 Amazon EBS 加密作为与 Amazon EC2 实例关联的 Amazon EBS 资源的直接加密解决方案。借助 Amazon EBS 加密，您无需构建、维护和保护自己的密钥管理基础设施。创建加密卷和快照时，Amazon EBS 加密使用 AWS KMS keys 。

加密操作发生在托管 EC2 实例的服务器上，从而确保两者的安全， data-at-rest以及实例 data-in-transit与其连接的 EBS 存储之间的安全。

您可以同时将加密卷和未加密卷附加到实例。所有 Amazon EC2 实例类型都支持 Amazon EBS 加密。

**Topics**
+ [Amazon EBS 加密的工作原理](how-ebs-encryption-works.md)
+ [Amazon EBS 加密要求](ebs-encryption-requirements.md)
+ [默认启用 Amazon EBS 加密](encryption-by-default.md)
+ [加密 EBS 资源](#encryption-parameters)
+ [轮换用于 Amazon EBS 加密的 AWS KMS 密钥](kms-key-rotation.md)
+ [Amazon EBS 加密示例](encryption-examples.md)

## 加密 EBS 资源
<a name="encryption-parameters"></a>

您可以通过启用加密来加密 EBS 卷：[使用默认加密](encryption-by-default.md)，或者在创建要加密的卷时启用加密。

加密卷时，可以指定用于加密该卷的对称加密 KMS 密钥。如果未指定 KMS 密钥，则用于加密的 KMS 密钥 取决于源快照的加密状态及其所有权。有关更多信息，请参阅[加密结果表](encryption-examples.md#ebs-volume-encryption-outcomes)。

**注意**  
如果您正在使用 API 或 AWS CLI 指定 KMS 密钥，请注意这会异步对 KMS 密钥 AWS 进行身份验证。如果您指定了无效的 KMS 密钥 ID、别名或 ARN，则操作可能会显示完成，但最终失败。

您无法更改与现有快照或卷关联的 KMS 密钥。但是，您可在快照复制操作期间关联另一个 KMS 密钥，从而使生成的已复制快照由新 KMS 密钥 进行加密。

### 在创建时加密空卷
<a name="new-encrypted-volumes"></a>

创建新的空 EBS 卷时，可以通过为特定卷创建操作启用加密来对其进行加密。如果默认情况下启用了 EBS 加密，则会使用 EBS 加密的默认 KMS 密钥 自动加密卷。您也可以为特定的卷创建操作指定不同的对称加密 KMS 密钥。卷从其首次可用时开始加密，因此您的数据始终安全。有关详细步骤，请参阅[创建 Amazon EBS 卷](ebs-creating-volume.md)。

默认情况下，您在创建卷时选择的 KMS 密钥 会对从该卷拍摄的快照加密，并对从这些加密的快照还原的卷加密。您无法从加密卷或快照删除加密，这意味着从加密快照还原的卷或者加密快照的副本始终加密。

加密卷的快照无法公开，但您可以与特定账户共享加密快照。有关详细指导，请参阅[与其他账户共享 Amazon EBS 快照 AWS](ebs-modifying-snapshot-permissions.md)。

### 加密未加密的资源
<a name="encrypt-unencrypted"></a>

您无法直接加密现有未加密卷或快照。

要对未加密的卷进行加密，请创建该卷的快照，然后使用该快照创建新的加密卷。有关更多信息，请参阅[创建 快照](ebs-create-snapshot.md)和[创建卷](ebs-creating-volume.md)。

要对未加密的快照进行加密，请创建该快照的加密副本。有关更多信息，请参阅 [复制快照](ebs-copy-snapshot.md)。

如果默认为您的账户启用加密，则从未加密快照创建的卷和快照副本始终处于加密状态。否则，您必须在请求中指定加密参数。有关更多信息，请参阅 [默认启用加密](encryption-by-default.md)。