Anforderungen für die EBS Amazon-Verschlüsselung - Amazon EBS
Unterstützte Volume-TypenUnterstützte Instance-TypenBerechtigungen für --BenutzerBerechtigungen für Instances

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anforderungen für die EBS Amazon-Verschlüsselung

Prüfen Sie, ob die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

Unterstützte Volume-Typen

Die Verschlüsselung wird von allen EBS Volumetypen unterstützt. Sie können auf verschlüsselten Volumes dieselbe IOPS Leistung wie auf unverschlüsselten Volumes erwarten, allerdings mit minimalen Auswirkungen auf die Latenz. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Ver- und Entschlüsselung werden transparent behandelt und erfordern von Ihnen oder Ihren Anwendungen keine weiteren Aktionen.

Unterstützte Instance-Typen

Die EBS Amazon-Verschlüsselung ist für alle Instance-Typen der aktuellen Generation und der vorherigen Generation verfügbar.

Berechtigungen für --Benutzer

Wenn Sie einen KMS Schlüssel für die EBS Verschlüsselung verwenden, ermöglicht die KMS Schlüsselrichtlinie jedem Benutzer, der Zugriff auf die erforderlichen AWS KMS Aktionen hat, diesen KMS Schlüssel zum Verschlüsseln oder Entschlüsseln EBS von Ressourcen zu verwenden. Sie müssen Benutzern die Erlaubnis erteilen, die folgenden Aktionen aufzurufen, um Verschlüsselung verwenden zu könnenEBS:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Zuschüsse für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erlaubt Zugriff auf das AWS Konto und aktiviert IAM Richtlinien im Abschnitt Standardschlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

Berechtigungen für Instances

Wenn eine Instance versuchtAMI, mit einem verschlüsselten Volume oder Snapshot zu interagieren, wird der Rolle der Instanz, die nur Identität besitzt, ein KMS Schlüssel zugewiesen. Die Rolle „Nur Identität“ ist eine IAM Rolle, die von der Instance verwendet wird, um in Ihrem Namen mit verschlüsselten AMIs Volumes oder Snapshots zu interagieren.

Reine Identitätsrollen müssen nicht manuell erstellt oder gelöscht werden, und ihnen sind keine Richtlinien zugeordnet. Außerdem haben Sie keinen Zugriff auf die Anmeldeinformationen, die nur für Identitätsrollen gelten.

Anmerkung

Reine Identitätsrollen werden von Anwendungen auf Ihrer Instance nicht für den Zugriff auf andere AWS KMS verschlüsselte Ressourcen wie Amazon S3 S3-Objekte oder Dynamo-DB-Tabellen verwendet. Diese Operationen werden mit den Anmeldeinformationen einer EC2 Amazon-Instance-Rolle oder anderen AWS Anmeldeinformationen ausgeführt, die Sie für Ihre Instance konfiguriert haben.

Reine Identitätsrollen unterliegen den Richtlinien zur Servicekontrolle (SCPs) und KMSwichtigen Richtlinien. Wenn ein SCP KMS Oder-Schlüssel der Rolle „Nur Identität“ den Zugriff auf einen KMS Schlüssel verweigert, können Sie EC2 Instances mit verschlüsselten Volumes oder mit verschlüsselten oder Snapshots möglicherweise nicht starten. AMIs

Wenn Sie mithilfe der aws:SourceVpce AWS globalen Bedingungsschlüssel,, SCP oder eine Schlüsselrichtlinie erstellen, die den Zugriff auf der Grundlage des Netzwerkstandorts verweigert aws:SourceIp aws:VpcSourceIpaws:SourceVpc, müssen Sie sicherstellen, dass diese Richtlinienaussagen nicht für reine Instanzrollen gelten. Beispiele für Richtlinien finden Sie unter Beispiele für Datenperimeter-Richtlinien.

Für die Rolle ARNs „Nur Identität“ wird das folgende Format verwendet:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Wenn einer Instance ein Schlüssel gewährt wird, wird der Schlüssel an die für diese spezielle Instance geltende Sitzung mit der angenommenen Rolle gewährt. Der Principal des Stipendiaten ARN verwendet das folgende Format:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id