Verschlüsseln Sie in EBS Amazon-Volumes gespeicherte Daten für Amazon ECS - Amazon Elastic Container Service
Richtlinie für vom Kunden verwaltete Schlüssel KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie in EBS Amazon-Volumes gespeicherte Daten für Amazon ECS

Sie können AWS Key Management Service (AWS KMS) verwenden, um kryptografische Schlüssel zu erstellen und zu verwalten, die Ihre Daten schützen. EBSAmazon-Volumes werden im Ruhezustand mithilfe von verschlüsselt AWS KMS keys. Die folgenden Datentypen werden verschlüsselt:

  • Daten, die im Ruhezustand auf dem Volume gespeichert sind

  • Festplatten-I/O

  • Aus dem Volume erstellte Snapshots

  • Neue Volumes, die aus Snapshots erstellt wurden

Sie können die EBS Amazon-Verschlüsselung standardmäßig so konfigurieren, dass alle neu erstellten und an eine Aufgabe angehängten Volumes mit dem KMS Schlüssel verschlüsselt werden, den Sie für Ihr Konto konfigurieren. Weitere Informationen zur EBS Amazon-Verschlüsselung und Standardverschlüsselung finden Sie unter EBSAmazon-Verschlüsselung im EC2Amazon-Benutzerhandbuch.

EBSAmazon-Volumes, die an Aufgaben angehängt sind, können entweder mithilfe eines Standardschlüssels Von AWS verwalteter Schlüssel mit dem Alias oder eines symmetrischenalias/aws/ebs, vom Kunden verwalteten Schlüssels verschlüsselt werden. Von AWS verwaltete Schlüssel Standardwerte sind für jeden Benutzer AWS-Konto einzigartig AWS-Region und werden automatisch erstellt. Um einen vom Kunden verwalteten symmetrischen Schlüssel zu erstellen, folgen Sie den Schritten unter Erstellen symmetrischer KMS Verschlüsselungsschlüssel im AWS KMS Entwicklerhandbuch.

Richtlinie für vom Kunden verwaltete Schlüssel KMS

Um ein EBS Volume, das an Ihre Aufgabe angehängt ist, mithilfe Ihres vom Kunden verwalteten Schlüssels zu verschlüsseln, müssen Sie Ihre KMS Schlüsselrichtlinie so konfigurieren, dass die IAM Rolle, die Sie für die Volume-Konfiguration verwenden, über die erforderlichen Berechtigungen zur Verwendung des Schlüssels verfügt. Die Schlüsselrichtlinie muss die kms:GenerateDataKey* Berechtigungen kms:CreateGrant und enthalten. Die kms:ReEncryptFrom Berechtigungen kms:ReEncryptTo und sind für die Verschlüsselung von Volumes erforderlich, die mithilfe von Snapshots erstellt wurden. Wenn Sie nur neue, leere Volumes für das Anhängen konfigurieren und verschlüsseln möchten, können Sie die kms:ReEncryptTo Berechtigungen und ausschließen. kms:ReEncryptFrom

Der folgende JSON Ausschnitt zeigt wichtige Richtlinienerklärungen, die Sie an Ihre KMS wichtige Richtlinie anhängen können. Durch die Verwendung dieser Anweisungen erhalten Sie Zugriff auf den Schlüssel ECS zur Verschlüsselung des Volumes. EBS Wenn Sie die Beispielrichtlinien verwenden möchten, ersetzen Sie sie durch Ihre eigenen Informationen. user input placeholders Konfigurieren Sie wie immer nur die Berechtigungen, die Sie benötigen.

{
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:DescribeKey",
      "Resource":"*"
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": [
      "kms:GenerateDataKey*",
      "kms:ReEncryptTo",
      "kms:ReEncryptFrom"
      ],
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:CreateGrant",
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }

Weitere Informationen zu wichtigen Richtlinien und Berechtigungen finden Sie unter Wichtige Richtlinien AWS KMS und AWS KMS Berechtigungen im AWS KMS Entwicklerhandbuch. Informationen zur Behebung von Problemen mit EBS Volumenanhängen im Zusammenhang mit Schlüsselberechtigungen finden Sie unterFehlerbehebung Amazon EBS Amazon-Volumenanhängen zu ECS Amazon-Aufgaben .