Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come utilizza Amazon Elastic Block Store (AmazonEBS) AWS KMS

Questo argomento illustra in dettaglio come Amazon Elastic Block Store (AmazonEBS) utilizza AWS KMS per crittografare volumi e snapshot. Per istruzioni di base sulla crittografia EBS dei volumi Amazon, consulta Amazon EBS Encryption.

EBSCrittografia Amazon

Quando colleghi un EBS volume Amazon crittografato a un tipo di istanza Amazon Elastic Compute Cloud (AmazonEC2) supportato, i dati archiviati inattivi sul volume, l'I/O del disco e le istantanee create dal volume sono tutti crittografati. La crittografia avviene sui server che ospitano EC2 le istanze Amazon.

Questa funzionalità è supportata su tutti i tipi di EBS volume Amazon. Accedi ai volumi crittografati nello stesso modo in cui accedi ad altri volumi; la crittografia e la decrittografia vengono gestite in modo trasparente e non richiedono alcuna azione aggiuntiva da parte tua, della tua EC2 istanza o della tua applicazione. Gli snapshot di volumi crittografati vengono automaticamente crittografati e i volumi creati da snapshot crittografati vengono anch'essi automaticamente crittografati.

Lo stato di crittografia di un EBS volume viene determinato al momento della creazione del volume. Non è possibile modificare lo stato di crittografia di un volume esistente. Tuttavia, è possibile eseguire la migrazione dei dati tra i volumi crittografati e non crittografati e applicare un nuovo stato di crittografia durante la copia di uno snapshot.

Amazon EBS supporta la crittografia opzionale per impostazione predefinita. Puoi abilitare automaticamente la crittografia su tutti i nuovi EBS volumi e le copie di istantanee nella tua Account AWS regione. Questa impostazione di configurazione non influisce sui volumi o sugli snapshot esistenti. Per maggiori dettagli, consulta Amazon EBS encryption nella Amazon EBS User Guide.

Utilizzo di KMS chiavi e chiavi dati

Quando crei un EBS volume Amazon crittografato, specifichi un AWS KMS key. Per impostazione predefinita, Amazon EBS utilizza Chiave gestita da AWSfor Amazon EBS nel tuo account (aws/ebs). Tuttavia puoi specificare una chiave gestita dal cliente creata e gestita da te.

Per utilizzare una chiave gestita dal cliente, devi EBS autorizzare Amazon a utilizzare la KMS chiave per tuo conto. Per un elenco delle autorizzazioni richieste, consulta Autorizzazioni per IAM gli utenti nella Amazon User Guide o nella Amazon EC2 EC2 User Guide.

Per ogni volume, Amazon EBS chiede AWS KMS di generare una chiave dati univoca crittografata con la KMS chiave specificata. Amazon EBS archivia la chiave dati crittografata con il volume. Quindi, quando colleghi il volume a un'EC2istanza Amazon, Amazon EBS chiama AWS KMS per decrittografare la chiave dati. Amazon EBS utilizza la chiave dati in chiaro nella memoria dell'hypervisor per crittografare tutti gli I/O del disco sul volume. Per i dettagli, consulta Come funziona la EBS crittografia nella Amazon EC2 User Guide o Amazon EC2 User Guide.

Contesto EBS di crittografia Amazon

Nelle sue richieste GenerateDataKeyWithoutPlaintexte Decrypt a, AWS KMS Amazon EBS utilizza un contesto di crittografia con una coppia nome-valore che identifica il volume o lo snapshot nella richiesta. Il nome nel contesto di crittografia non varia.

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Per tutti i volumi e per le istantanee crittografate create con l'EBSCreateSnapshotoperazione Amazon, Amazon EBS utilizza l'ID del volume come valore del contesto di crittografia. Nel requestParameters campo di una voce di CloudTrail registro, il contesto di crittografia è simile al seguente:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Per le istantanee crittografate create con l'EC2CopySnapshotoperazione Amazon, Amazon EBS utilizza l'ID snapshot come valore del contesto di crittografia. Nel requestParameters campo di una voce di CloudTrail registro, il contesto di crittografia è simile al seguente:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Rilevamento dei guasti di Amazon EBS

Per creare un EBS volume crittografato o collegare il volume a un'EC2istanza, Amazon EBS e l'EC2infrastruttura Amazon devono essere in grado di utilizzare la KMS chiave specificata per la crittografia EBS del volume. Quando la KMS chiave non è utilizzabile, ad esempio quando lo stato della chiave non lo è, la creazione Enabled del volume o il relativo allegato falliscono.

In questo caso, Amazon EBS invia un evento ad Amazon EventBridge (in precedenza CloudWatch Events) per informarti dell'errore. In EventBridge, puoi stabilire regole che attivano azioni automatiche in risposta a questi eventi. Per ulteriori informazioni, consulta Amazon CloudWatch Events for Amazon EBS nella Amazon EC2 User Guide, in particolare le seguenti sezioni:

Per correggere questi errori, assicurati che la KMS chiave che hai specificato per la crittografia dei EBS volumi sia abilitata. A tale scopo, visualizzate innanzitutto la KMS chiave per determinarne lo stato corrente (la colonna Status in AWS Management Console). Quindi, consulta le informazioni contenute in uno dei seguenti collegamenti:

Utilizzo AWS CloudFormation per creare EBS volumi Amazon crittografati

Puoi utilizzarlo AWS CloudFormationper creare EBS volumi Amazon crittografati. Per ulteriori informazioni, consulta AWS::EC2: :Volume nella Guida per l'AWS CloudFormation utente.