Verschlüsseln Sie Daten, die auf Amazon EBS-Volumes gespeichert sind, die an Amazon ECS-Aufgaben angehängt sind - Amazon Elastic Container Service
Vom Kunden verwaltete KMS-Schlüsselrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie Daten, die auf Amazon EBS-Volumes gespeichert sind, die an Amazon ECS-Aufgaben angehängt sind

Sie können AWS Key Management Service (AWS KMS) verwenden, um kryptografische Schlüssel zu erstellen und zu verwalten, die Ihre Daten schützen. Amazon EBS-Volumes werden im Ruhezustand mithilfe AWS KMS keys von verschlüsselt. Die folgenden Datentypen werden verschlüsselt:

  • Daten, die im Ruhezustand auf dem Volume gespeichert sind

  • Festplatten-I/O

  • Aus dem Volume erstellte Schnappschüsse

  • Neue Volumes, die aus verschlüsselten Snapshots erstellt wurden

Amazon EBS-Volumes, die an Aufgaben angehängt sind, können verschlüsselt werden, indem entweder ein Standard Von AWS verwalteter Schlüssel mit dem Alias oder ein symmetrischeralias/aws/ebs, vom Kunden verwalteter Schlüssel verwendet wird, der in der Volume-Konfiguration angegeben ist. Standardwerte Von AWS verwaltete Schlüssel sind für jeden Benutzer einzigartig AWS-Konto AWS-Region und werden automatisch erstellt. Um einen symmetrischen, vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter KMS-Schlüssel für symmetrische Verschlüsselung im AWS KMS Entwicklerhandbuch.

Sie können die Amazon EBS-Verschlüsselung standardmäßig so konfigurieren, dass alle neuen Volumes, die in einem bestimmten Bereich erstellt und an eine Aufgabe angehängt AWS-Region werden, mithilfe des KMS-Schlüssels, den Sie für Ihr Konto angeben, verschlüsselt werden. Weitere Informationen zur Amazon EBS-Verschlüsselung und Standardverschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EBS-Benutzerhandbuch.

Sie können auch die Amazon ECS-Verschlüsselung auf Clusterebene für Amazon ECS-verwalteten Speicher einrichten, wenn Sie einen Cluster erstellen oder aktualisieren. Verschlüsselung auf Clusterebene kann verwendet werden, um alle Amazon EBS-Volumes zu verschlüsseln, die mit Aufgaben verknüpft sind, die in einem bestimmten Cluster ausgeführt werden. Dabei wird der auf Clusterebene angegebene KMS-Schlüssel verwendet. Weitere Informationen zur Konfiguration der Verschlüsselung auf Cluster-Ebene finden Sie ManagedStorageConfigurationin der Amazon ECS-API-Referenz.

Sie können eine beliebige Kombination dieser Schlüssel konfigurieren. Die Rangfolge der KMS-Schlüssel ist wie folgt:

  1. Der in der Volume-Konfiguration angegebene KMS-Schlüssel. Wenn Sie in der Volume-Konfiguration einen KMS-Schlüssel angeben, überschreibt er den Amazon EBS-Standard und alle KMS-Schlüssel, die auf Clusterebene angegeben sind.

  2. Der auf Clusterebene angegebene KMS-Schlüssel. Wenn Sie einen KMS-Schlüssel für die Verschlüsselung von verwaltetem Amazon ECS-Speicher auf Clusterebene angeben, überschreibt er die Amazon EBS-Standardverschlüsselung, jedoch keinen KMS-Schlüssel, der in der Volume-Konfiguration angegeben ist.

  3. Amazon EBS-Standardverschlüsselung. Die Standardverschlüsselung gilt, wenn Sie in der Volume-Konfiguration weder einen KMS-Schlüssel auf Clusterebene noch einen Schlüssel angeben. Wenn Sie die Amazon EBS-Verschlüsselung standardmäßig aktivieren, ist die Standardeinstellung der KMS-Schlüssel, den Sie standardmäßig für die Verschlüsselung angeben. Andernfalls ist die Standardeinstellung Von AWS verwalteter Schlüssel mit dem Aliasalias/aws/ebs.

    Anmerkung

    Wenn Sie false in Ihrer Volume-Konfiguration encrypted auf festgelegt haben, keinen KMS-Schlüssel auf Clusterebene angeben und die Amazon EBS-Verschlüsselung standardmäßig aktivieren, wird das Volume weiterhin standardmäßig mit dem für die Amazon EBS-Verschlüsselung angegebenen Schlüssel verschlüsselt.

Vom Kunden verwaltete KMS-Schlüsselrichtlinie

Um ein EBS-Volume, das an Ihre Aufgabe angehängt ist, mithilfe eines vom Kunden verwalteten Schlüssels zu verschlüsseln, müssen Sie Ihre KMS-Schlüsselrichtlinie so konfigurieren, dass die IAM-Rolle, die Sie für die Volume-Konfiguration verwenden, über die erforderlichen Berechtigungen zur Verwendung des Schlüssels verfügt. Die Schlüsselrichtlinie muss die Berechtigungen und enthalten. kms:CreateGrant kms:GenerateDataKey* Die kms:ReEncryptFrom Berechtigungen kms:ReEncryptTo und sind für die Verschlüsselung von Volumes erforderlich, die mithilfe von Snapshots erstellt wurden. Wenn Sie nur neue, leere Volumes für das Anhängen konfigurieren und verschlüsseln möchten, können Sie die kms:ReEncryptTo Berechtigungen und ausschließen. kms:ReEncryptFrom

Der folgende JSON-Snippet zeigt wichtige Richtlinienerklärungen, die Sie an Ihre KMS-Schlüsselrichtlinie anhängen können. Durch die Verwendung dieser Anweisungen erhält Amazon ECS Zugriff auf die Verwendung des Schlüssels für die Verschlüsselung des EBS-Volumes. Wenn Sie die Beispielrichtlinien verwenden möchten, ersetzen Sie sie durch Ihre eigenen Informationen. user input placeholders Konfigurieren Sie wie immer nur die Berechtigungen, die Sie benötigen.

{
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:DescribeKey",
      "Resource":"*"
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": [
      "kms:GenerateDataKey*",
      "kms:ReEncryptTo",
      "kms:ReEncryptFrom"
      ],
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:CreateGrant",
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }

Weitere Informationen zu wichtigen Richtlinien und Berechtigungen finden Sie unter Wichtige Richtlinien AWS KMS und AWS KMS Berechtigungen im AWS KMS Entwicklerhandbuch. Informationen zur Behebung von Problemen mit dem Anhängen von EBS-Volumes im Zusammenhang mit Schlüsselberechtigungen finden Sie unterFehlerbehebung bei Amazon EBS-Volume-Anhängen an Amazon ECS-Aufgaben .