Amazon Elastic Compute Cloud
Benutzerhandbuch für Linux-Instances

Amazon EBS Encryption

Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, ohne dass Sie eine eigene Infrastruktur für die Schlüsselverwaltung erstellen, verwalten und sichern müssen. Die Lösung verwendet beim Erstellen verschlüsselter Volumes und Snapshots AWS Key Management Service (AWS KMS)-Kundenmasterschlüssel (CMKs).

Die Verschlüsselung wird auf den Servern ausgeführt, auf denen die Amazon EC2-Instances gehostet werden, um die Sicherheit sowohl ruhender Daten als auch übertragener Daten zwischen einer Instance und dem verbundenen EBS-Speicher zu gewährleisten.

So funktioniert EBS Encryption

Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln. Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

EBS verschlüsselt Ihr Volume mit einem Datenschlüssel mithilfe des in der Branche üblichen AES-256-Algorithmus. Ihr Datenschlüssel wird mit Ihren verschlüsselten Daten auf der Festplatte gespeichert, jedoch erst, nachdem EBS ihn mit Ihrem CMK verschlüsselt hat. Ihr Datenschlüssel wird niemals in Klartext auf der Festplatte angezeigt. Derselbe Datenschlüssel gilt für Snapshots des Volumes und für alle anschließend aus diesen Snapshots erstellten Volumes. Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management Service Developer Guide.

Amazon EBS arbeitet wie folgt mit AWS KMS zusammen, um Ihre EBS-Volumes zu ver- und entschlüsseln:

  1. Amazon EBS sendet eine CreateGrant-Anforderung an AWS KMS, damit der Datenschlüssel entschlüsselt werden kann.

  2. Amazon EBS sendet eine GenerateDataKeyWithoutPlaintext-Anforderung an AWS KMS, die den CMK-Schlüssel zur Verschlüsselung des Volumes angibt.

  3. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt diesen mit dem angegebenen CMK und sendet dann den verschlüsselten Datenschlüssel an Amazon EBS, um ihn mit den Volume-Metadaten zu speichern.

  4. Wenn Sie ein verschlüsseltes Volume an eine Instance anfügen, sendet Amazon EBS eine Decrypt-Anforderung an AWS KMS, in der der verschlüsselte Datenschlüssel angegeben wird.

  5. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EBS.

  6. Amazon EBS verwendet den Klartext-Datenschlüssel im Hypervisor-Speicher, um den Disk-E/A zum Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

Weitere Informationen finden Sie unter Verwendung von AWS KMS durch Amazon Elastic Block Store (Amazon EBS) und AWS KMS-Protokolldateieinträge im AWS Key Management Service Developer Guide.

Voraussetzungen

Prüfen Sie, ob die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

Unterstützte Volume-Typen

Die Verschlüsselung wird von allen Arten von EBS-Volumes unterstützt. Sie können bei verschlüsselten Volumes dieselbe IOPS-Leistung voraussetzen wie bei unverschlüsselten Volumes, mit minimalen Auswirkungen auf die Latenz. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Ver- und Entschlüsselung werden transparent behandelt und erfordern von Ihnen oder Ihren Anwendungen keine weiteren Aktionen.

Unterstützte Instance-Typen

Amazon EBS-Verschlüsselung ist für die unten aufgeführten Instance-Typen verfügbar. Sie können diesen Instance-Typen sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen.

  • Universell: A1, M3, M4, M5, M5a, M5ad, M5d, M5dn, M5n, T2, T3 und T3a

  • Für Datenverarbeitung optimiert: C3, C4, C5, C5d und C5n

  • Arbeitsspeicheroptimiert: cr1.8xlarge, R3, R4, R5, R5a, R5ad, R5d, R5dn, R5n, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, u-18tb1.metal, u-24tb1.metal, X1, X1e und z1d

  • Speicheroptimiert: D2, h1.2xlarge, h1.4xlarge, I2, I3 und I3en

  • Beschleunigte Datenverarbeitung: F1, G2, G3, G4, P2 und P3

Berechtigungen für IAM-Benutzer

Wenn Sie einen CMK als Standardschlüssel für die EBS-Verschlüsselung konfigurieren, gestattet die Standardschlüsselrichtlinie allen IAM-Benutzern mit Zugriff auf die erforderlichen KMS-Aktionen die Verwendung dieses Schlüssels zur Verschlüsselung oder Entschlüsselung von EBS-Ressourcen. Sie müssen IAM-Benutzern die Berechtigung zum Aufrufen der folgenden Aktionen erteilen, damit diese die EBS-Verschlüsselung verwenden können:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Stattdessen gestatten Sie dem Benutzer das Erstellen von Gewährungen im CMK nur dann, wenn die Gewährung von einem AWS-Service im Namen des Benutzers erstellt wird, wie im folgenden Beispiel gezeigt:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Weitere Informationen finden Sie unter Standardschlüsselrichtlinie im AWS Key Management Service Developer Guide.

Standardschlüssel für die EBS-Verschlüsselung

Amazon EBS erstellt automatisch in jeder Region, in der Sie AWS-Ressourcen speichern, einen eindeutigen, von AWS verwalteten CMK. Dieser Schlüssel hat den Alias alias/aws/ebs. Amazon EBS verwendet standardmäßig diesen Schlüssel für die Verschlüsselung. Alternativ können Sie einen kundenverwalteten CMK angeben, den Sie als Standardschlüssel für die EBS-Verschlüsselung erstellt haben. Die Verwendung eines eigenen CMK gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, Schlüssel zu erstellen, zu rotieren und zu deaktivieren.

So konfigurieren Sie den Standardschlüssel für die EBS-Verschlüsselung für eine Region

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf der Navigationsleiste die Region aus.

  3. Wählen Sie Account Attributes (Kontoattribute), Settings (Einstellungen) aus.

  4. Wählen Sie Change the default key (Standardschlüssel ändern) und dann einen verfügbaren Schlüssel aus.

  5. Wählen Sie Update (Aktualisieren) aus.

Standardmäßige Verschlüsselung

Sie können Ihr AWS-Konto so konfigurieren, dass es die Verschlüsselung neuer EBS-Volumes und Snapshot-Kopien erzwingt, die Sie erstellen. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter Verschlüsseln unverschlüsselter Ressourcen.

Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus.

Überlegungen

  • Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.

  • Wenn Sie die standardmäßige Verschlüsselung aktivieren, können Sie eine Instance nur starten, wenn der Instance-Typ die EBS-Verschlüsselung unterstützt. Weitere Informationen finden Sie unter Unterstützte Instance-Typen.

  • Aktivieren Sie beim Migrieren von Servern mithilfe von AWS Server Migration Service (SMS) nicht standardmäßig die Verschlüsselung. Wenn die Verschlüsselung bereits standardmäßig aktiviert ist und Delta-Replikationsfehler auftreten, schalten Sie die standardmäßige Verschlüsselung aus. Aktivieren Sie stattdessen beim Erstellen des Replikationsauftrags die AMI-Verschlüsselung.

So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf der Navigationsleiste die Region aus.

  3. Wählen Sie im Navigationsbereich die Option EC2 Dashboard aus.

  4. Wählen Sie in der oberen rechten Ecke der Seite Account Attributes (Kontoattribute), Settings (Einstellungen).aus.

  5. Wählen Sie unter EBS Storage (EBS-Speicher) die Option Always encrypt new EBS volumes (Neue EBS-Volumes immer verschlüsseln) aus.

  6. Wählen Sie Update (Aktualisieren) aus.

Sie können den CMK, der mit einem vorhandenen Snapshot oder verschlüsselten Volume verknüpft ist, nicht mehr ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen CMK zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen CMK verschlüsselt wird.

Verschlüsseln von EBS-Ressourcen

Sie verschlüsseln EBS-Volumes, indem Sie die Verschlüsselung aktivieren. Hierzu verwenden Sie entweder die standardmäßige Verschlüsselung oder aktivieren die Verschlüsselung beim Erstellen eines Volumes, das Sie verschlüsseln möchten.

Wenn Sie ein Volume verschlüsseln, können Sie den CMK angeben, der für die Verschlüsselung des Volumes verwendet wird. Wenn Sie keinen CMK angeben, ist der für die Verschlüsselung verwendete Schlüssel vom Verschlüsselungszustand des Quell-Snapshots und von dessen Besitzer abhängig. Weitere Informationen finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Sie können den CMK, der mit einem vorhandenen Snapshot oder Volume verknüpft ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen CMK zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen CMK verschlüsselt wird.

Erstellen neuer leerer Volumes mit Verschlüsselung

Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es durch die Aktivierung der Verschlüsselung für den spezifischen Volume-Erstellungsvorgang verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, wird das Volume automatisch verschlüsselt. Das Volume wird standardmäßig mit Ihrem Standardschlüssel für die EBS-Verschlüsselung verschlüsselt. Alternativ können Sie einen anderen CMK für den spezifischen Volume-Erstellungsvorgang angeben. Das Volume ist zum Zeitpunkt der Verfügbarkeit verschlüsselt, sodass Ihre Daten stets sicher sind. Die detaillierten Schritte finden Sie unter Erstellen eines Amazon EBS-Volumes.

Standardmäßig verschlüsselt der beim Erstellen des Volumes ausgewählte CMK die Snapshots, die Sie für das Volume erstellen, und die Volumes, die Sie aus diesen verschlüsselten Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Das bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, stets verschlüsselt ist.

Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Detaillierte Anweisungen finden Sie unter Freigeben eines Amazon EBS-Snapshots.

Verschlüsseln unverschlüsselter Ressourcen

Es gibt keine direkte Möglichkeit für die Verschlüsselung vorhandener unverschlüsselter Volumes oder Snapshots. Sie können diese jedoch verschlüsseln, indem Sie ein Volume oder einen Snapshot erstellen. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, erzwingt Amazon EBS die Verschlüsselung des resultierenden neuen Volumes oder Snapshots mit Ihrem Standardschlüssel für die EBS-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. Unabhängig davon, ob Sie die standardmäßige Verschlüsselung oder die Verschlüsselung bei einzelnen Erstellungsvorgängen aktivieren, können Sie den Standardschlüssel für die EBS-Verschlüsselung durch einen kundenverwalteten CMK überschreiben. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-Volumes und Kopieren eines Amazon EBS-Snapshots.

Um die Snapshot-Kopie mit einem kundenverwalteten CMK zu verschlüsseln, müssen Sie sowohl die Verschlüsselung aktivieren als auch den Schlüssel angeben, wie in Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung nicht aktiviert) beschrieben.

Sie können neue Verschlüsselungszustände auch anwenden, wenn Sie eine Instance aus einem EBS-gestützten AMI starten. Dies ist möglich, da EBS-gestützte AMIs Snapshots von EBS-Volumes enthalten, die wie beschrieben verschlüsselt werden können. Weitere Informationen finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.

Verschlüsselungsszenarien

Wenn Sie eine verschlüsselte EBS-Ressource erstellen, wird sie mit dem Standardschlüssel Ihres Kontos für die EBS-Verschlüsselung verschlüsselt, wenn Sie in den Parametern für die Volume-Erstellung oder in der Blockgerät-Zuweisung für den AMI oder die Instance keinen anderen kundenverwalteten CMK angegeben haben. Weitere Informationen finden Sie unter Standardschlüssel für die EBS-Verschlüsselung.

Das folgende Beispiel zeigt die Verwaltung des Verschlüsselungszustands Ihrer Volumes und Snapshots. Die vollständige Liste der Verschlüsselungsszenarien finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung nicht aktiviert)

Ohne die aktivierte standardmäßige Verschlüsselung ist ein Volume, das aus einem unverschlüsselten Snapshot wiederhergestellt wurde, standardmäßig unverschlüsselt. Sie können jedoch das resultierende Volume verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Das folgende Diagramm zeigt den Prozess.

Wenn Sie den Parameter KmsKeyId auslassen, wird das resultierende Volume mit Ihrem Standardschlüssel für die EBS-Verschlüsselung verschlüsselt. Sie müssen eine Schlüssel-ID angeben, um das Volume mit einem anderen CMK zu verschlüsseln.

Weitere Informationen finden Sie unter Wiederherstellen eines Amazon EBS-Volumes aus einem Snapshot.

Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für Volumes, die aus unverschlüsselten Snapshots wiederhergestellt wurden, zwingend erforderlich und es sind keine Verschlüsselungsparameter für Ihren Standard-CMK erforderlich. Im folgenden Diagramm wird dieser einfache Standardfall veranschaulicht:

Wenn Sie das wiederhergestellte Volume mit einem kundenverwalteten CMK verschlüsseln möchten, müssen Sie die Parameter Encrypted und KmsKeyId angeben, wie in Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung nicht aktiviert) gezeigt.

Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung nicht aktiviert)

Ohne aktivierte standardmäßige Verschlüsselung ist eine unverschlüsselte Snapshot-Kopie standardmäßig unverschlüsselt. Sie können jedoch den resultierenden Snapshot verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Wenn Sie KmsKeyId weglassen, wird der resultierende Snapshot mit Ihrem Standard-CMK verschlüsselt. Sie müssen eine Schlüssel-ID angeben, um das Volume mit einem anderen CMK zu verschlüsseln.

Das folgende Diagramm zeigt den Prozess.


                    Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Sie können ein EBS-Volume verschlüsseln, indem Sie einen unverschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren und dann ein Volume aus dem verschlüsselten Snapshot erstellen. Weitere Informationen finden Sie unter Kopieren eines Amazon EBS-Snapshots.

Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für unverschlüsselte Snapshot-Kopien zwingend erforderlich und es sind keine Verschlüsselungsparameter erforderlich, wenn der Standard-CMK verwendet wird. Das folgende Diagramm veranschaulicht diesen Standardfall.


                    Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Erneutes Verschlüsseln eines verschlüsselten Volumes

Wenn die CreateVolume-Aktion für einen verschlüsselten Snapshot ausgeführt wird, haben Sie die Möglichkeit, ihn mit einem anderen CMK erneut zu verschlüsseln. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei CMKs, CMK A und CMK B. Der Quell-Snapshot wird mit CMK A verschlüsselt. Während der Volume-Erstellung wird die Schlüssel-ID von CMK B als Parameter angegeben. Die Quelldaten werden automatisch entschlüsselt und dann mit CMK B erneut verschlüsselt.


                    Kopieren eines verschlüsselten Snapshots und Verschlüsseln der Kopie mit einem neuen Schlüssel.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Weitere Informationen finden Sie unter Wiederherstellen eines Amazon EBS-Volumes aus einem Snapshot.

Erneutes Verschlüsseln eines verschlüsselten Snapshots

Durch die Möglichkeit, einen Snapshot beim Kopieren zu verschlüsseln, können Sie einen neuen CMK auf einen bereits verschlüsselten Snapshot anwenden, den Sie besitzen. Auf Volumes, die aus dieser verschlüsselten Kopie wiederhergestellt wurden, kann nur mit dem neuen CMK zugegriffen werden. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei CMKs, CMK A und CMK B. Der Quell-Snapshot wird mit CMK A verschlüsselt. Während des Kopierens wird die Schlüssel-ID von CMK B als Parameter angegeben. Die Quelldaten werden automatisch mit CMK B erneut verschlüsselt.


                    Kopieren eines verschlüsselten Snapshots und Verschlüsseln der Kopie mit einem neuen Schlüssel.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Ein ähnliches Szenario liegt vor, wenn Sie neue Verschlüsselungsparameter auf eine Kopie eines Snapshot anwenden möchten, der für Sie freigegeben wurde. Die Kopie ist standardmäßig mit einem CMK verschlüsselt, den der Eigentümer des Snapshots freigegeben hat. Wir empfehlen jedoch, dass Sie eine Kopie des geteilten Snapshot mit einem anderen CMK, den Sie kontrollieren, erstellen. Dies schützt Ihren Zugriff auf das Volume, wenn der Original-CMK kompromittiert wurde oder der Eigentümer den CMK aus einem beliebigen Grund widerruft. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren von Snapshots.

Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes

Wenn Sie Zugriff auf ein verschlüsseltes und ein unverschlüsseltes Volume haben, können Sie jederzeit Daten vom einen zum anderen übertragen. EC2 führt die Verschlüsselungs- und Entschlüsselungsvorgänge auf transparente Weise aus.

Verwenden Sie zum Beispiel den Befehl rsync zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in /mnt/source und das Ziel-Volume ist unter /mnt/destination gemountet.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Verschlüsselungsergebnisse

Die folgende Tabelle beschreibt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.

Ist die Verschlüsselung aktiviert? Ist standardmäßig eine Verschlüsselung aktiviert? Volume-Quelle Standard (kein CMK angegeben) Benutzerdefiniert (CMK angegeben)
Nein Nein Neues leeres Volume Unverschlüsselt N/A
Nein Nein Unverschlüsselter eigener Snapshot Unverschlüsselt
Nein Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Unverschlüsselt
Nein Nein Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK*
Ja Nein Neues Volume Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK**
Ja Nein Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK
Ja Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Nein Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Nein Ja Neues (leeres) Volume Verschlüsselt mit Standard-CMK
Nein Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK N/A
Nein Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Nein Ja Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Ja Neues Volume Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK
Ja Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK
Ja Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Ja Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK

* Dies ist der Standard-CMK zur EBS-Verschlüsselung für das AWS-Konto und die AWS-Region. Standardmäßig ist dies ein eindeutiger von AWS verwalteter CMK für EBS; Sie können auch einen vom Kunden verwalteten CMK angeben. Weitere Informationen finden Sie unter Standardschlüssel für die EBS-Verschlüsselung.

** Dies ist ein kundenverwalteter CMK, der zur Startzeit für das Volume angegeben wurde. Dieser CMK wird anstelle des Standard-CMK für das AWS-Konto und die Region verwendet.

Festlegen der Standardverschlüsselung mittels API und CLI

Mit den folgenden API-Aktionen und CLI-Befehlen können Sie die standardmäßige Verschlüsselung und den Standard-Kundenmasterschlüssel (CMK) verwalten.

API-Aktion CLI-Befehl Beschreibung

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Deaktiviert die standardmäßige Verschlüsselung.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Aktiviert die standardmäßige Verschlüsselung.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

Beschreibt den Standard-CMK.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Gibt an, ob die standardmäßige Verschlüsselung aktiviert ist.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

Ändert den zur Verschlüsselung von EBS-Volumes verwendeten Standard-CMK.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

Setzt den AWS-verwalteten Standard-CMK als Standard-CMK für die Verschlüsselung von EBS-Volumes zurück.