Verwenden der Verschlüsselung mit EBS-gestützten AMIs - Amazon Elastic Compute Cloud

Verwenden der Verschlüsselung mit EBS-gestützten AMIs

AMIs, die durch Amazon EBS-Snapshots gestützt werden, können die Amazon EBS-Verschlüsselung nutzen. Snapshots von Daten- und Stamm-Volumes können verschlüsselt und einem AMI zugeordnet werden. Sie können Instances starten und Abbilder mit vollständiger EBS-Verschlüsselungsunterstützung kopieren. Verschlüsselungsparameter für diese Operationen werden in allen Regionen unterstützt, in denen AWS KMS verfügbar ist.

EC2-Instances mit verschlüsselten EBS-Volumes werden über AMIs genau wie andere Instances gestartet. Zudem können Sie einige oder alle Volumes während des Starts verschlüsseln, wenn Sie eine Instance von einem AMI starten, das von unverschlüsselten EBS-Snapshots unterstützt wird.

Genau wie EBS-Volumes können Snapshots in AMIs entweder mit Ihrem standardmäßigen AWS Key Management Service-Kundenhauptschlüssel (Customer Master Key, CMK) oder mit einem von Ihnen angegebenen kundenverwalteten Schlüssel verschlüsselt werden. In allen Fällen müssen Sie die Berechtigung haben, den ausgewählten Schlüssel zu verwenden.

AMIs mit verschlüsselten Snapshots können für mehrere AWS-Konten gemeinsam genutzt werden. Weitere Informationen finden Sie unter Gemeinsame AMIs.

Themen zur Verschlüsselung mit EBS-gestützten AMIs

Instance-startende Szenarien

Amazon EC2-Instances werden mithilfe der RunInstances-Aktion mit über Blockgerät-Zuweisung bereitgestellten Parameter aus AMIs gestartet, entweder über die AWS Management Console oder direkt unter Verwendung der Amazon EC2-API oder CLI. Weitere Informationen über die Blockgerät-Zuweisung finden Sie unter Blockgerät-Zuweisung. Beispiele für die Steuerung der Blockgerät-Zuweisung über die AWS CLI finden Sie unter Launch, List, and Terminate EC2 Instances.

Ohne explizite Verschlüsselungsparameter behält eine RunInstances-Aktion standardmäßig den bestehenden Verschlüsselungsstatus der Quell-Snapshots eines AMI bei, während EBS-Volumes von diesen wiederhergestellt werden. Wenn Standardmäßige Verschlüsselung aktiviert ist, werden alle über das AMI erstellten Volumes verschlüsselt (unabhängig davon, ob es sich um verschlüsselte oder unverschlüsselte Snapshots handelt). Wenn die Verschlüsselung standardmäßig nicht aktiviert ist, behält die Instance den Verschlüsselungsstatus der AMI bei.

Sie können auch eine Instance starten und gleichzeitig einen neuen Verschlüsselungsstatus auf die sich ergebenden Volumes anwenden, indem Sie Verschlüsselungsparameter angeben. Folglich werden die folgenden Verhaltensweisen beobachtet:

Starten ohne Verschlüsselungsparameter

  • Ein unverschlüsselter Snapshot wird in ein unverschlüsseltes Volume wiederhergestellt, es sei denn, die standardmäßige Verschlüsselung ist aktiviert. In diesem Fall werden alle neu erstellten Volumes verschlüsselt.

  • Ein verschlüsselter Snapshot, den Sie besitzen, wird in ein Volume wiederhergestellt, das mit demselben CMK verschlüsselt wird.

  • Ein verschlüsselter Snapshot, den Sie nicht besitzen (z. B. wenn das AMI mit Ihnen geteilt wird), wird in ein Volume wiederhergestellt, das mit dem Standard-CMK Ihres AWS-Kontos verschlüsselt wird.

Durch Angeben von Verschlüsselungsparametern können die Standard-Verhaltensweisen überschrieben werden. Die verfügbaren Parameter sind Encrypted und KmsKeyId. Werden nur die Encrypted-Parameter festgelegt, ergibt sich Folgendes:

Instance-Start-Verhaltensweisen, wenn Encrypted festgelegt, aber keine KmsKeyId angegeben ist

  • Ein unverschlüsselter Snapshot wird in ein EBS-Volume wiederhergestellt, das mit dem Standard-CMK Ihres AWS-Kontos verschlüsselt wird.

  • Ein verschlüsselter Snapshot, den Sie besitzen, wird in ein EBS-Volume wiederhergestellt, das mit demselben CMK verschlüsselt wird. (Mit anderen Worten, der Encrypted-Parameter ist wirkungslos.)

  • Ein verschlüsselter Snapshot, den Sie nicht besitzen (z. B. wenn das AMI mit Ihnen geteilt wird), wird in ein Volume wiederhergestellt, das mit dem Standard-CMK Ihres AWS-Kontos verschlüsselt wird. (Mit anderen Worten, der Encrypted-Parameter ist wirkungslos.)

Durch Festlegen der Parameter Encrypted und KmsKeyId können Sie einen nicht standardmäßigen CMK für eine Verschlüsselungsoperation angeben. Dadurch ergeben sich die folgenden Verhaltensweisen:

Instance, bei der Encrypted und KmsKeyId festgelegt sind

  • Ein unverschlüsselter Snapshot wird in ein EBS-Volume wiederhergestellt, das mit dem angegebenen CMK verschlüsselt wird.

  • Ein verschlüsselter Snapshot wird in ein EBS-Volume wiederhergestellt, das nicht mit dem ursprünglichen CMK, sondern mit dem angegebenen CMK verschlüsselt wird.

Das Senden einer KmsKeyId ohne Festlegen des Encrypted-Parameters führt zu einem Fehler.

Die folgenden Abschnitte enthalten Beispiele für das Starten von Instances aus AMIs mithilfe von nicht standardmäßigen Verschlüsselungsparametern. In jedem dieser Szenarien ergibt sich durch die in der RunInstances-Aktionen bereitgestellten Parameter eine Änderung des Verschlüsselungsstatus während der Wiederherstellung eines Volumes aus einem Snapshot.

Anmerkung

Detaillierte Konsolenverfahren zum Starten einer Instance aus einem AMI finden Sie unter Starten Ihrer Instance.

Eine Dokumentation der RunInstances-API finden Sie unter RunInstances.

Eine Dokumentation des Befehls run-instances in der AWS Command Line Interface finden Sie unter run-instances.

Verschlüsseln eines Volumes während des Startens

In diesem Beispiel wird ein von einem unverschlüsselten Snapshot unterstütztes AMI verwendet, um eine EC2-Instance mit einem verschlüsselten EBS-Volume zu starten.


					Starten einer Instance und Verschlüsseln eines Volumes während der Laufzeit

Der Parameter Encrypted für sich allein bewirkt, dass das Volume für diese Instance verschlüsselt wird. Die Angabe eines Parameters KmsKeyId ist optional. Wenn keine Schlüssel-ID angegeben ist, wird der Standard-CMK des AWS-Kontos zum Verschlüsseln des Volumes verwendet. Geben Sie den Parameter KmsKeyId an, um das Volume mit einem anderen eigenen CMK zu verschlüsseln.

Neuverschlüsseln eines Volumes während des Startens

In diesem Beispiel wird ein von einem verschlüsselten Snapshot unterstütztes AMI verwendet, um eine EC2-Instance mit einem EBS-Volume zu starten, das mit einem neuen CMK verschlüsselt wird.


					Spontanes Starten einer Instance und Neuverschlüsseln eines Volumes

Wenn Sie das AMI besitzen und keine Verschlüsselungsparameter angeben, hat die sich ergebende Instance ein Volume, das mit demselben Schlüssel wie der Snapshot verschlüsselt wird. Wenn das AMI gemeinsam genutzt wird und nicht Ihnen gehört – und Sie keine Verschlüsselungsparameter angeben – wird das Volume mit Ihrem Standard-CMK verschlüsselt. Werden die Verschlüsselungsparameter wie gezeigt angegeben, wird das Volume mit dem angegebenen CMK verschlüsselt.

Ändern des Verschlüsselungsstatus mehrerer Volumes während des Startens

In diesem komplexeren Beispiel wird ein von mehreren Snapshots unterstütztes AMI (jedes mit einem eigenen Verschlüsselungsstatus) verwendet, um eine EC2-Instance mit einem neu verschlüsselten und einem erneut verschlüsselten Volume zu starten.


					Verschlüsseln und Neuverschlüsseln mehrerer Volumes während des Startens

In diesem Szenario wird die RunInstances-Aktion mit Verschlüsselungsparametern für jeden der Quell-Snapshots bereitgestellt. Wenn alle möglichen Verschlüsselungsparameter angegeben sind, ist die sich ergebende Instance unabhängig davon, ob Sie die AMI besitzen, identisch.

Abbild-kopierende Szenarien

Amazon EC2-AMIs werden mit der CopyImage-Aktion kopiert, entweder über die AWS Management Console direkt unter Verwendung der Amazon EC2-API oder CLI.

Ohne explizite Verschlüsselungsparameter behält eine CopyImage-Aktion standardmäßig den bestehenden Verschlüsselungsstatus der Quell-Snapshots eines AMI während des Kopierens bei. Sie können auch ein AMI kopieren und gleichzeitig einen neuen Verschlüsselungsstatus auf seine zugeordneten EBS-Snapshots anwenden, indem Sie Verschlüsselungsparameter angeben. Folglich werden die folgenden Verhaltensweisen beobachtet:

Kopieren ohne Verschlüsselungsparameter

  • Ein unverschlüsselter Snapshot wird in einen anderen unverschlüsselten Snapshot kopiert, es sei denn, die standardmäßige Verschlüsselung ist aktiviert. In diesem Fall werden alle neu erstellten Snapshots verschlüsselt.

  • Ein verschlüsselter Snapshot, den Sie besitzen, wird in einen Snapshot kopiert, der mit demselben Schlüssel verschlüsselt wird.

  • Ein verschlüsselter Snapshot, den Sie nicht besitzen (d. h. das AMI wird mit Ihnen geteilt), wird in einen Snapshot kopiert, der mit dem Standard-CMK Ihres AWS-Kontos verschlüsselt wird.

All diese Standard-Verhaltensweisen können durch Angeben von Verschlüsselungsparametern überschrieben werden. Die verfügbaren Parameter sind Encrypted und KmsKeyId. Werden nur die Encrypted-Parameter festgelegt, ergibt sich Folgendes:

Copy-image-Verhaltensweisen, wenn Encrypted festgelegt, aber keine KmsKeyId angegeben ist

  • Ein unverschlüsselter Snapshot wird in einen Snapshot kopiert, der mit dem Standard-CMK des AWS-Kontos verschlüsselt wird.

  • Ein verschlüsselter Snapshot wird in einen Snapshot kopiert, der mit demselben CMK verschlüsselt wird. (Mit anderen Worten, der Encrypted-Parameter ist wirkungslos.)

  • Ein verschlüsselter Snapshot, den Sie nicht besitzen (z. B. wenn das AMI mit Ihnen geteilt wird), wird in ein Volume kopiert, das mit dem Standard-CMK Ihres AWS-Kontos verschlüsselt wird. (Mit anderen Worten, der Encrypted-Parameter ist wirkungslos.)

Durch Festlegen der Parameter Encrypted und KmsKeyId können Sie einen kundenverwalteten CMK für eine Verschlüsselungsoperation angeben. Dadurch ergeben sich die folgenden Verhaltensweisen:

Copy-image-Verhaltensweisen, wenn Encrypted und KmsKeyId festgelegt sind

  • Ein unverschlüsselter Snapshot wird in einen Snapshot kopiert, der mit dem angegebenen CMK verschlüsselt wird.

  • Ein verschlüsselter Snapshot wird in einen Snapshot kopiert, der nicht mit dem ursprünglichen CMK, sondern mit dem angegebenen CMK verschlüsselt wird.

Das Senden einer KmsKeyId ohne Festlegen des Encrypted-Parameters führt zu einem Fehler.

Der folgende Abschnitt enthält ein Beispiel für das Kopieren eines AMI mit nicht standardmäßigen Verschlüsselungsparametern, wodurch sich der Verschlüsselungsstatus ändert.

Anmerkung

Detaillierte Konsoleverfahren zum Kopieren eines AMI finden Sie unter Kopieren eines AMI.

Eine Dokumentation der CopyImage-API finden Sie unter CopyImage.

Eine Dokumentation des Befehls copy-image in der AWS Command Line Interface finden Sie unter copy-image.

Verschlüsseln eines unverschlüsselten Abbilds während des Kopierens

In diesem Szenario wird ein von einem unverschlüsselten Stamm-Snapshot gestütztes AMI in ein AMI mit verschlüsseltem Stamm-Snasphot kopiert. Die Aktion CopyImage wird mit zwei Verschlüsselungsparametern aufgerufen, einschließlich der Auswahl eines CMK. Infolgedessen ändert sich der Verschlüsselungsstatus des Stamm-Snapshots, sodass das Ziel-AMI von einem Stamm-Snapshot gestützt wird, der dieselben Daten wie der Quell-Snapshot enthält, aber mit dem angegebenen Schlüssel verschlüsselt ist. Es fallen Speicherkosten für die Snapshots in AMIs sowie Gebühren für alle Instances an, die Sie über eines der beiden AMI starten.

Anmerkung

Die Verschlüsselung nach Standard hat die gleiche Wirkung wie die Einstellung des Parameters Encrypted auf true für alle Snapshots in dem AMI.


		Spontanes Kopieren des AMI und spontane Verschlüsselung des Snapshots

Die Einstellung des Parameters Encrypted verschlüsselt den einzelnen Snapshot für diese Instance. Wenn Sie den Parameter KmsKeyId nicht angeben, wird der Standard-CMK für die Verschüsselung der Snapshotkopie verwendet.

Anmerkung

Sie können auch ein Abbild mit mehreren Snapshots kopieren und den Verschlüsselungsstatus individuell konfigurieren.