Amazon EBS-Verschlüsselung - Amazon EBS
So funktioniert die EBS-VerschlüsselungVerschlüsseln von EBS-RessourcenRotierende Tasten AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EBS-Verschlüsselung

Verwenden Sie Amazon EBS-Verschlüsselung als unkomplizierte Verschlüsselungslösung für Ihre EBS-Ressourcen, die mit Ihren EC2-Instances verknüpft sind. Mit der Amazon EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, pflegen und sichern. Amazon EBS-Verschlüsselung nutzt AWS KMS keys beim Erstellen verschlüsselter Volumes und Snapshots.

Verschlüsselungsvorgänge finden auf den Servern statt, die EC2-Instances hosten, wodurch die Sicherheit sowohl data-at-rest einer Instance als auch data-in-transit zwischen einer Instance und dem angeschlossenen EBS-Speicher gewährleistet wird.

Sie können diesen Instances sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen.

Inhalt

So funktioniert die EBS-Verschlüsselung

Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln.

Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

Amazon EBS verschlüsselt Ihr Volume mit einem Datenschlüssel mithilfe der in der Branche üblichen AES-256-Datenverschlüsselung. Der Datenschlüssel wird von Ihrem AWS KMS Schlüssel generiert AWS KMS und anschließend AWS KMS mit diesem verschlüsselt, bevor er zusammen mit Ihren Volumeninformationen gespeichert wird. Alle Snapshots und alle nachfolgenden Volumes, die aus diesen Snapshots mit demselben AWS KMS Schlüssel erstellt wurden, verwenden denselben Datenschlüssel. Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management Service -Entwicklerhandbuch.

Amazon EC2 verwendet AWS KMS , um Ihre EBS-Volumes auf leicht unterschiedliche Weise zu ver- und entschlüsseln, je nachdem, ob der Snapshot, aus dem Sie ein verschlüsseltes Volume erstellen, verschlüsselt oder unverschlüsselt ist.

So funktioniert die EBS-Verschlüsselung bei verschlüsseltem Snapshot

Wenn Sie aus einem verschlüsselten Snapshot, den Sie besitzen, ein verschlüsseltes Volume erstellen, verschlüsselt und entschlüsselt Amazon EC2 Ihre EBS-Volumes wie folgt: AWS KMS

  1. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.

  2. Wenn das Volume mit demselben KMS-Schlüssel wie der Snapshot verschlüsselt ist, AWS KMS verwendet es denselben Datenschlüssel wie der Snapshot und verschlüsselt ihn unter demselben KMS-Schlüssel. Wenn das Volume mit einem anderen KMS-Schlüssel verschlüsselt ist, AWS KMS generiert es einen neuen Datenschlüssel und verschlüsselt ihn unter dem von Ihnen angegebenen KMS-Schlüssel. Der verschlüsselte Datenschlüssel wird an Amazon EBS gesendet, damit er mit den Volume-Metadaten gespeichert wird.

  3. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine CreateGrantAnfrage an, AWS KMS damit es den Datenschlüssel entschlüsseln kann.

  4. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  5. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um Festplatten-E/A zum Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

So funktioniert die EBS-Verschlüsselung bei unverschlüsseltem Snapshot

Wenn Sie ein verschlüsseltes Volume aus einem unverschlüsselten Snapshot erstellen, arbeitet Amazon EC2 wie folgt mit AWS KMS zusammen, um Ihre EBS-Volumes zu ver- und entschlüsseln:

  1. Amazon EC2 sendet eine CreateGrantAnfrage an AWS KMS, damit es das Volume verschlüsseln kann, das aus dem Snapshot erstellt wurde.

  2. Amazon EC2 sendet eine GenerateDataKeyWithoutPlaintextAnfrage an AWS KMS, in der der KMS-Schlüssel angegeben wird, den Sie für die Volumenverschlüsselung ausgewählt haben.

  3. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem KMS-Schlüssel, den Sie für die Volumenverschlüsselung ausgewählt haben, und sendet den verschlüsselten Datenschlüssel an Amazon EBS, damit er zusammen mit den Volume-Metadaten gespeichert wird.

  4. Amazon EC2 sendet eine Decrypt-Anfrage, AWS KMS um den verschlüsselten Datenschlüssel zu entschlüsseln, den es dann zum Verschlüsseln der Volumendaten verwendet.

  5. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine CreateGrantAnfrage an AWS KMS, damit es den Datenschlüssel entschlüsseln kann.

  6. Wenn Sie das verschlüsselte Volume an eine Instance anhängen, sendet Amazon EC2 eine Decrypt-Anfrage unter Angabe des verschlüsselten Datenschlüssels an AWS KMS.

  7. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon EC2.

  8. Amazon EC2 verwendet den Klartext-Datenschlüssel in der Nitro-Hardware, um Festplatten-E/A zum Volume zu verschlüsseln. Der Klartext-Datenschlüssel bleibt solange im Speicher, wie das Volume an die Instance angefügt ist.

Weitere Informationen finden Sie unter So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS und Amazon EC2 – Beispiel zwei im AWS Key Management Service -Entwicklerhandbuch.

Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel

Wenn ein KMS-Schlüssel unbrauchbar wird, wirkt sich das fast sofort aus (vorbehaltlich einer letztendlichen Konsistenz). Der Schlüsselstatus des KMS-Schlüssels ändert sich, um seinen neuen Zustand widerzuspiegeln, und alle Anforderungen der Verwendung des KMS-Schlüssels in kryptografischen Vorgängen schlagen fehl.

Wenn Sie eine Aktion ausführen, die den KMS-Schlüssel unbrauchbar macht, hat dies keine unmittelbaren Auswirkungen auf die EC2-Instance oder die angehängten EBS-Volumes. Amazon EC2 verwendet den Datenschlüssel, nicht den KMS-Schlüssel, um alle Festplatten-I/O zu verschlüsseln, während das Volume an die Instance angefügt ist.

Wenn jedoch das verschlüsselte EBS-Volume von der EC2-Instance getrennt wird, entfernt Amazon EBS den Datenschlüssel von der Nitro-Hardware. Wird das verschlüsselte EBS-Volume dann wieder an eine EC2-Instance angefügt, schlägt dies fehl, weil Amazon EBS nicht den KMS-Schlüssel verwenden kann, um den verschlüsselten Datenschlüssel des Volumes zu entschlüsseln. Um das EBS-Volume wieder zu verwenden, müssen Sie den KMS-Schlüssel wieder brauchbar machen.

Tipp

Wenn Sie nicht mehr auf Daten zugreifen möchten, die auf einem EBS-Volume gespeichert sind, das mit einem aus einem KMS-Schlüssel generierten Datenschlüssel verschlüsselt ist, den Sie unbrauchbar machen möchten, empfehlen wir, das EBS-Volume von der EC2-Instance zu trennen, bevor Sie den KMS-Schlüssel unbrauchbar machen.

Weitere Informationen finden Sie unter Wie sich unbrauchbare KMS-Schlüssel auf Datenschlüssel auswirken  im AWS Key Management Service -Entwicklerhandbuch.

Verschlüsseln von EBS-Ressourcen

Sie verschlüsseln EBS-Volumes, indem Sie die Verschlüsselung aktivieren. Hierzu verwenden Sie entweder die standardmäßige Verschlüsselung oder aktivieren die Verschlüsselung beim Erstellen eines Volumes, das Sie verschlüsseln möchten.

Wenn Sie ein Volume verschlüsseln, können Sie den symmetrischen KMS-Schlüssel zur Verschlüsselung angeben, der für die Verschlüsselung des Volumes verwendet wird. Wenn Sie keinen Verschlüsselung angeben, ist der für die Verschlüsselung verwendete Verschlüsselung vom Verschlüsselungszustand des Quell-Snapshots und von dessen Besitzer abhängig. Weitere Informationen finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Anmerkung

Wenn Sie die API verwenden oder AWS CLI einen KMS-Schlüssel angeben, beachten Sie, dass der KMS-Schlüssel asynchron AWS authentifiziert wird. Wenn Sie eine Verschlüsselung-ID, einen Aliasnamen oder ARN angeben, die nicht gültig sind, kann es so wirken, als würde die Aktion abgeschlossen, aber schlussendlich schlägt sie fehl.

Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder Volume verknüpft ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.

Verschlüsseln eines leeren Volumes bei der Erstellung

Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es durch die Aktivierung der Verschlüsselung für den spezifischen Volume-Erstellungsvorgang verschlüsseln. Wenn Sie standardmäßig die EBS-Verschlüsselung aktiviert haben, wird das Volume automatisch mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Alternativ können Sie einen anderen symmetrischen KMS-Schlüssel zur Verschlüsselung für den spezifischen Volume-Erstellungsvorgang angeben. Das Volume ist zum Zeitpunkt der Verfügbarkeit verschlüsselt, sodass Ihre Daten stets sicher sind. Die detaillierten Schritte finden Sie unter Erstellen Sie ein Amazon EBS-Volume.

Standardmäßig verschlüsselt der beim Erstellen des Volumes ausgewählte Verschlüsselung die Snapshots, die Sie für das Volume erstellen, und die Volumes, die Sie aus diesen verschlüsselten Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Das bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, stets verschlüsselt ist.

Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Detaillierte Anweisungen finden Sie unter Teilen eines Amazon EBS-Snapshots.

Verschlüsseln unverschlüsselter Ressourcen

Vorhandene unverschlüsselte Volumes oder Snapshots können nicht direkt verschlüsselt werden. Sie können jedoch verschlüsselte Volumes oder Snapshots aus unverschlüsselten Volumes oder Snapshots erstellen. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, verschlüsselt Amazon EBS automatisch neue Volumes oder Snapshots mit Ihrem Standard-KMS-Schlüssel für die EBS-Verschlüsselung. Andernfalls können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren, indem Sie entweder den Standard-KMS-Schlüssel für die Amazon-EBS-Verschlüsselung oder einen symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden. Weitere Informationen finden Sie unter Erstellen Sie ein Amazon EBS-Volume und Kopieren Sie einen Amazon EBS-Snapshot.

Um die Snapshot-Kopie in Kundenverwalteter Schlüssel zu verschlüsseln, müssen Sie sowohl die Verschlüsselung aktivieren als auch Verschlüsselung angeben, wie in Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert) gezeigt.

Wichtig

Amazon EBS unterstützt keine asymmetrischen KMS-Schlüssel zur Verschlüsselung. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen KMS-Schlüsseln zur Verschlüsselung im AWS Key Management Service -Benutzerhandbuch.

Sie können neue Verschlüsselungszustände auch anwenden, wenn Sie eine Instance aus einem EBS-gestützten AMI starten. Dies ist möglich, da EBS-gestützte AMIs Snapshots von EBS-Volumes enthalten, die wie beschrieben verschlüsselt werden können. Weitere Informationen finden Sie unter Verwenden von Verschlüsselung mit EBS-gestützten AMIs.

Rotierende Tasten AWS KMS

Die bewährten Methoden für die Kryptografie raten von einer extensiven Weiterverwendung von Verschlüsselungsschlüsseln ab.

Um neues kryptografisches Material für die Verwendung mit der Amazon EBS-Verschlüsselung zu erstellen, können Sie entweder einen neuen vom Kunden verwalteten Schlüssel erstellen und dann Ihre Anwendungen so ändern, dass sie diesen neuen KMS-Schlüssel verwenden. Oder Sie können die automatische Schlüsselrotation für einen vorhandenen, vom Kunden verwalteten Schlüssel aktivieren.

Wenn Sie die automatische Schlüsselrotation für einen vom Kunden verwalteten Schlüssel aktivieren, AWS KMS generiert jedes Jahr neues kryptografisches Material für den KMS-Schlüssel. AWS KMS speichert alle früheren Versionen des kryptografischen Materials, sodass Sie Volumes und Snapshots, die zuvor mit diesem KMS-Schlüsselmaterial verschlüsselt wurden, weiter entschlüsseln und verwenden können. AWS KMS löscht kein rotiertes Schlüsselmaterial, bis Sie den KMS-Schlüssel löschen.

Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel verwenden, um ein neues Volume oder einen neuen Snapshot zu verschlüsseln, AWS KMS verwendet das aktuelle (neue) Schlüsselmaterial. Wenn Sie einen rotierten, vom Kunden verwalteten Schlüssel verwenden, um ein Volume oder einen Snapshot zu entschlüsseln, AWS KMS verwendet es die Version des kryptografischen Materials, das zur Verschlüsselung verwendet wurde. Wenn ein Volume oder ein Snapshot mit einer früheren Version des kryptografischen Materials verschlüsselt ist, verwendet Sie AWS KMS weiterhin diese vorherige Version, um es zu entschlüsseln. AWS KMS verschlüsselt zuvor verschlüsselte Volumes oder Snapshots nicht erneut, um das neue kryptografische Material nach einer Schlüsselrotation zu verwenden. Sie bleiben mit dem kryptografischen Material verschlüsselt, mit dem sie ursprünglich verschlüsselt wurden. Sie können einen rotierten, vom Kunden verwalteten Schlüssel bedenkenlos in Anwendungen und AWS Diensten verwenden, ohne dass der Code geändert werden muss.

Anmerkung

  • Die automatische Schlüsselrotation wird nur für symmetrische, vom Kunden verwaltete Schlüssel unterstützt, bei denen das Schlüsselmaterial AWS KMS erstellt wird.

  • AWS KMS wechselt automatisch Von AWS verwaltete Schlüssel jedes Jahr. Sie können die Schlüsselrotation von Von AWS verwaltete Schlüssel nicht aktivieren oder deaktivieren.

Weitere Informationen finden Sie unter Rotieren von KMS-Schlüsseln im Entwicklerhandbuch von AWS Key Management Service .