Amazon EBS-Verschlüsselung - Amazon EBS
So funktioniert die EBS-VerschlüsselungVerschlüsseln von EBS-RessourcenRotieren von AWS KMS Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EBS-Verschlüsselung

Verwenden Sie Amazon EBS-Verschlüsselung als unkomplizierte Verschlüsselungslösung für Ihre EBS-Ressourcen, die mit Ihren EC2-Instances verknüpft sind. Mit der Amazon EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, pflegen und sichern. Amazon EBS-Verschlüsselung nutzt AWS KMS keys beim Erstellen verschlüsselter Volumes und Snapshots.

Verschlüsselungsvorgänge erfolgen auf den Servern, die EC2-Instances hosten, wodurch die Sicherheit sowohl von data-at-rest als auch data-in-transit zwischen einer Instance und dem angeschlossenen EBS-Speicher gewährleistet wird.

Sie können diesen Instances sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen.

Inhalt

So funktioniert die EBS-Verschlüsselung

Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln.

Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

Amazon EBS verschlüsselt Ihr Volume mit einem Datenschlüssel mithilfe der in der Branche üblichen AES-256-Datenverschlüsselung. Der Datenschlüssel wird von generiert AWS KMS und dann von AWS KMS mit Ihrem AWS KMS Schlüssel verschlüsselt, bevor er mit Ihren Volume-Informationen gespeichert wird. Alle Snapshots und alle nachfolgenden Volumes, die aus diesen Snapshots mit demselben AWS KMS Schlüssel erstellt wurden, haben denselben Datenschlüssel. Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management Service -Entwicklerhandbuch.

Amazon EC2 arbeitet mit zusammen AWS KMS , um Ihre EBS-Volumes auf leicht unterschiedliche Weise zu ver- und entschlüsseln, je nachdem, ob der Snapshot, aus dem Sie ein verschlüsseltes Volume erstellen, verschlüsselt oder unverschlüsselt ist.

So funktioniert die EBS-Verschlüsselung bei verschlüsseltem Snapshot

Wenn Sie ein verschlüsseltes Volume aus einem verschlüsselten Snapshot erstellen, den Sie besitzen, arbeitet Amazon EC2 wie folgt mit zusammen, AWS KMS um Ihre EBS-Volumes zu ver- und entschlüsseln:

  1. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintext Anforderung an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volume-Verschlüsselung ausgewählt haben.

  2. Wenn das Volume mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt ist, AWS KMS verwendet denselben Datenschlüssel wie der Snapshot und verschlüsselt ihn mit demselben KMS-Schlüssel. Wenn das Volume mit einem anderen KMS-Schlüssel verschlüsselt wird, AWS KMS generiert einen neuen Datenschlüssel und verschlüsselt ihn mit dem von Ihnen angegebenen KMS-Schlüssel. Der verschlüsselte Datenschlüssel wird an Amazon EBS gesendet, damit er mit den Volume-Metadaten gespeichert wird.

  3. Wenn Sie das verschlüsselte Volume an eine Instance anfügen, sendet Amazon EC2 eine CreateGrant Anforderung an , AWS KMS damit der Datenschlüssel entschlüsselt werden kann.

  4. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  5. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um Festplatten-E/A zum Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

So funktioniert die EBS-Verschlüsselung bei unverschlüsseltem Snapshot

Wenn Sie ein verschlüsseltes Volume aus einem unverschlüsselten Snapshot erstellen, arbeitet Amazon EC2 wie folgt mit AWS KMS zusammen, um Ihre EBS-Volumes zu ver- und entschlüsseln:

  1. Amazon EC2 sendet eine CreateGrant Anforderung an AWS KMS, damit es das Volume verschlüsseln kann, das aus dem Snapshot erstellt wird.

  2. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintext Anforderung an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volume-Verschlüsselung ausgewählt haben.

  3. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem KMS-Schlüssel, den Sie für die Volume-Verschlüsselung ausgewählt haben, und sendet den verschlüsselten Datenschlüssel an Amazon EBS, wo er mit den Volume-Metadaten gespeichert wird.

  4. Amazon EC2 sendet eine Decrypt-Anforderung an AWS KMS , um den Verschlüsselungsschlüssel zum Verschlüsseln der Volume-Daten abzurufen.

  5. Wenn Sie das verschlüsselte Volume an eine Instance anfügen, sendet Amazon EC2 eine CreateGrant Anforderung an AWS KMS, damit der Datenschlüssel entschlüsselt werden kann.

  6. Wenn Sie das verschlüsselte Volume an eine Instance anfügen, sendet Amazon EC2 eine Decrypt-Anforderung an AWS KMS, in der der verschlüsselte Datenschlüssel angegeben wird.

  7. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  8. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um Festplatten-E/A zum Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

Weitere Informationen finden Sie unter So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS und Amazon EC2 – Beispiel zwei im AWS Key Management Service -Entwicklerhandbuch.

Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der Schlüsselstatus des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in kryptografischen Vorgängen schlagen fehl.

Wenn Sie eine Aktion ausführen, die den KMS-Schlüssel unbrauchbar macht, hat dies keine unmittelbaren Auswirkungen auf die EC2-Instance oder die angehängten EBS-Volumes. Amazon EC2 verwendet den Datenschlüssel, nicht den KMS-Schlüssel, um alle Festplatten-I/O zu verschlüsseln, während das Volume an die Instance angefügt ist.

Wenn jedoch das verschlüsselte EBS-Volume von der EC2-Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wird das verschlüsselte EBS-Volume dann wieder an eine EC2-Instance angefügt, schlägt dies fehl, weil Amazon EBS nicht den KMS-Schlüssel verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.

Tipp

Wenn Sie nicht mehr auf Daten zugreifen möchten, die auf einem EBS-Volume gespeichert sind, das mit einem aus einem KMS-Schlüssel generierten Datenschlüssel verschlüsselt ist, den Sie unbrauchbar machen möchten, empfehlen wir, das EBS-Volume von der EC2-Instance zu trennen, bevor Sie den KMS-Schlüssel unbrauchbar machen.

Weitere Informationen finden Sie unter Wie sich unbrauchbare KMS-Schlüssel auf Datenschlüssel auswirken  im AWS Key Management Service -Entwicklerhandbuch.

Verschlüsseln von EBS-Ressourcen

Sie verschlüsseln EBS-Volumes, indem Sie die Verschlüsselung aktivieren. Hierzu verwenden Sie entweder die standardmäßige Verschlüsselung oder aktivieren die Verschlüsselung beim Erstellen eines Volumes, das Sie verschlüsseln möchten.

Wenn Sie ein Volume verschlüsseln, können Sie den symmetrischen KMS-Schlüssel zur Verschlüsselung angeben, der für die Verschlüsselung des Volumes verwendet wird. Wenn Sie keinen Verschlüsselung angeben, ist der für die Verschlüsselung verwendete Verschlüsselung vom Verschlüsselungszustand des Quell-Snapshots und von dessen Besitzer abhängig. Weitere Informationen finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Anmerkung

Wenn Sie die API oder verwenden, AWS CLI um einen KMS-Schlüssel anzugeben, beachten Sie, dass den KMS-Schlüssel asynchron AWS authentifiziert. Wenn Sie eine Verschlüsselung-ID, einen Aliasnamen oder ARN angeben, die nicht gültig sind, kann es so wirken, als würde die Aktion abgeschlossen, aber schlussendlich schlägt sie fehl.

Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder Volume verknüpft ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.

Verschlüsseln eines leeren Volumes bei der Erstellung

Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es durch die Aktivierung der Verschlüsselung für den spezifischen Volume-Erstellungsvorgang verschlüsseln. Wenn Sie standardmäßig die EBS-Verschlüsselung aktiviert haben, wird das Volume automatisch mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Alternativ können Sie einen anderen symmetrischen KMS-Schlüssel zur Verschlüsselung für den spezifischen Volume-Erstellungsvorgang angeben. Das Volume ist zum Zeitpunkt der Verfügbarkeit verschlüsselt, sodass Ihre Daten stets sicher sind. Die detaillierten Schritte finden Sie unter Erstellen Sie ein Amazon EBS-Volume.

Standardmäßig verschlüsselt der beim Erstellen des Volumes ausgewählte Verschlüsselung die Snapshots, die Sie für das Volume erstellen, und die Volumes, die Sie aus diesen verschlüsselten Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Das bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, stets verschlüsselt ist.

Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Detaillierte Anweisungen finden Sie unter Teilen eines Amazon EBS-Snapshots.

Verschlüsseln unverschlüsselter Ressourcen

Vorhandene unverschlüsselte Volumes oder Snapshots können nicht direkt verschlüsselt werden. Sie können jedoch verschlüsselte Volumes oder Snapshots aus unverschlüsselten Volumes oder Snapshots erstellen. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, verschlüsselt Amazon EBS automatisch neue Volumes oder Snapshots mit Ihrem Standard-KMS-Schlüssel für die EBS-Verschlüsselung. Andernfalls können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren, indem Sie entweder den Standard-KMS-Schlüssel für die Amazon-EBS-Verschlüsselung oder einen symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden. Weitere Informationen finden Sie unter Erstellen Sie ein Amazon EBS-Volume und Kopieren Sie einen Amazon EBS-Snapshot.

Um die Snapshot-Kopie in Kundenverwalteter Schlüssel zu verschlüsseln, müssen Sie sowohl die Verschlüsselung aktivieren als auch Verschlüsselung angeben, wie in Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert) gezeigt.

Wichtig

Amazon EBS unterstützt keine asymmetrischen KMS-Schlüssel zur Verschlüsselung. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen KMS-Schlüsseln zur Verschlüsselung im AWS Key Management Service -Benutzerhandbuch.

Sie können neue Verschlüsselungszustände auch anwenden, wenn Sie eine Instance aus einem EBS-gestützten AMI starten. Dies ist möglich, da EBS-gestützte AMIs Snapshots von EBS-Volumes enthalten, die wie beschrieben verschlüsselt werden können. Weitere Informationen finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.

Rotieren von AWS KMS Schlüsseln

Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab. Um neue kryptografische Daten für Ihren KMS-Schlüssel zu erstellen, können Sie einen neuen KMS-Schlüssel erstellen und anschließend Ihre Anwendungen oder Aliasse so ändern, dass diese den neuen KMS-Schlüssel verwenden. Sie können die automatische Schlüsseldrehung auch für einen vorhandenen KMS-Schlüssel aktivieren.

Wenn Sie die automatische Schlüsseldrehung für einen KMS-Schlüssel aktivieren, AWS KMS generiert jedes Jahr neues kryptografisches Material für den KMS-Schlüssel. speichert alle vorherigen Versionen des kryptografischen Materials, sodass Sie alle mit diesem KMS-Schlüssel AWS KMS verschlüsselten Daten entschlüsseln können. AWS KMS löscht kein gedrehtes Schlüsselmaterial, bis Sie den KMS-Schlüssel löschen.

Wenn Sie einen gedrehten KMS-Schlüssel zum Verschlüsseln von Daten verwenden, AWS KMS verwendet das aktuelle Schlüsselmaterial. Wenn Sie den gedrehten KMS-Schlüssel verwenden, um Daten zu entschlüsseln, AWS KMS verwendet die Version des Schlüsselmaterials, das für die Verschlüsselung verwendet wurde. Sie können einen rotierten KMS-Schlüssel sicher in Anwendungen und AWS -Services ohne Codeänderungen verwenden.

Anmerkung

Die automatische Schlüsseldrehung wird nur für symmetrische, vom Kunden verwaltete Schlüssel mit Schlüsselmaterial unterstützt, das AWS KMS erstellt. rotiert AWS KMS automatisch Von AWS verwaltete Schlüssel jedes Jahr. Sie können die Schlüsselrotation von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.

Weitere Informationen finden Sie unter Rotieren von KMS-Schlüsseln im Entwicklerhandbuch von AWS Key Management Service .