Verschlüsseln Sie auf Amazon EBS-Volumes gespeicherte Daten für Amazon ECS - Amazon Elastic Container Service
Richtlinie für vom Kunden verwaltete KMS-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie auf Amazon EBS-Volumes gespeicherte Daten für Amazon ECS

Sie können AWS Key Management Service (AWS KMS) verwenden, um kryptografische Schlüssel zu erstellen und zu verwalten, die Ihre Daten schützen. Amazon EBS-Volumes werden im Ruhezustand mithilfe AWS KMS keys von verschlüsselt. Die folgenden Datentypen werden verschlüsselt:

  • Daten, die im Ruhezustand auf dem Volume gespeichert sind

  • Festplatten-I/O

  • Aus dem Volume erstellte Schnappschüsse

  • Neue Volumes, die aus Snapshots erstellt wurden

Sie können die Amazon EBS-Verschlüsselung standardmäßig so konfigurieren, dass alle neu erstellten und an eine Aufgabe angehängten Volumes mithilfe des KMS-Schlüssels, den Sie für Ihr Konto konfigurieren, verschlüsselt werden. Weitere Informationen zur Amazon EBS-Verschlüsselung und Standardverschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im EC2 Amazon-Benutzerhandbuch.

Amazon EBS-Volumes, die an Aufgaben angehängt sind, können entweder mithilfe eines Standardschlüssels Von AWS verwalteter Schlüssel mit dem Alias oder eines symmetrischenalias/aws/ebs, vom Kunden verwalteten Schlüssels verschlüsselt werden. Standardwerte Von AWS verwaltete Schlüssel sind für jeden Benutzer einzigartig AWS-Konto AWS-Region und werden automatisch erstellt. Um einen symmetrischen, vom Kunden verwalteten Schlüssel zu erstellen, folgen Sie den Schritten unter KMS-Schlüssel für symmetrische Verschlüsselung im AWS KMS Entwicklerhandbuch.

Richtlinie für vom Kunden verwaltete KMS-Schlüssel

Um ein EBS-Volume, das an Ihre Aufgabe angehängt ist, mithilfe Ihres vom Kunden verwalteten Schlüssels zu verschlüsseln, müssen Sie Ihre KMS-Schlüsselrichtlinie so konfigurieren, dass die IAM-Rolle, die Sie für die Volume-Konfiguration verwenden, über die erforderlichen Berechtigungen zur Verwendung des Schlüssels verfügt. Die Schlüsselrichtlinie muss die Berechtigungen und enthalten. kms:CreateGrant kms:GenerateDataKey* Die kms:ReEncryptFrom Berechtigungen kms:ReEncryptTo und sind für die Verschlüsselung von Volumes erforderlich, die mithilfe von Snapshots erstellt wurden. Wenn Sie nur neue, leere Volumes für das Anhängen konfigurieren und verschlüsseln möchten, können Sie die kms:ReEncryptTo Berechtigungen und ausschließen. kms:ReEncryptFrom

Der folgende JSON-Snippet zeigt wichtige Richtlinienerklärungen, die Sie an Ihre KMS-Schlüsselrichtlinie anhängen können. Durch die Verwendung dieser Anweisungen erhält Amazon ECS Zugriff auf die Verwendung des Schlüssels für die Verschlüsselung des EBS-Volumes. Wenn Sie die Beispielrichtlinien verwenden möchten, ersetzen Sie sie durch Ihre eigenen Informationen. user input placeholders Konfigurieren Sie wie immer nur die Berechtigungen, die Sie benötigen.

{
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:DescribeKey",
      "Resource":"*"
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": [
      "kms:GenerateDataKey*",
      "kms:ReEncryptTo",
      "kms:ReEncryptFrom"
      ],
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" },
      "Action": "kms:CreateGrant",
      "Resource":"*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "aws_account_id",
          "kms:ViaService": "ec2.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": "aws:ebs:id"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }

Weitere Informationen zu wichtigen Richtlinien und Berechtigungen finden Sie unter Wichtige Richtlinien AWS KMS und AWS KMS Berechtigungen im AWS KMS Entwicklerhandbuch. Informationen zur Behebung von Problemen mit dem Anhängen von EBS-Volumes im Zusammenhang mit Schlüsselberechtigungen finden Sie unterFehlerbehebung bei Amazon EBS-Volume-Anhängen an Amazon ECS-Aufgaben .