Beispiele für Amazon EBS-Verschlüsselung

Wenn Sie eine verschlüsselte EBS-Ressource erstellen, wird sie mit dem Standard-VerschlüsselungIhres Kontos für die EBS-Verschlüsselung verschlüsselt, wenn Sie in den Parametern für die Volume-Erstellung oder in der Blockgerät-Zuweisung für den AMI oder die Instance keinen anderen Kundenverwalteter Schlüssel angegeben haben. Weitere Informationen finden Sie unter Wählen Sie einen KMS-Schlüssel für die EBS-Verschlüsselung.

Das folgende Beispiel zeigt die Verwaltung des Verschlüsselungszustands Ihrer Volumes und Snapshots. Die vollständige Liste der Verschlüsselungsszenarien finden Sie in der Tabelle der Verschlüsselungsergebnisse.

Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)

Ohne die aktivierte standardmäßige Verschlüsselung ist ein Volume, das aus einem unverschlüsselten Snapshot wiederhergestellt wurde, standardmäßig unverschlüsselt. Sie können jedoch das resultierende Volume verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Das folgende Diagramm zeigt den Prozess.

Wenn Sie den Parameter KmsKeyId auslassen, wird das resultierende Volume mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselung-ID angeben, um das Volume mit einem anderen Verschlüsselung zu verschlüsseln.

Weitere Informationen finden Sie unter Erstellen eines Volumes von einem Snapshot.

Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für Volumes, die aus unverschlüsselten Snapshots wiederhergestellt wurden, zwingend erforderlich und es sind keine Verschlüsselungsparameter für Ihren Standard-Verschlüsselung erforderlich. Im folgenden Diagramm wird dieser einfache Standardfall veranschaulicht:

Wenn Sie das wiederhergestellte Volume mit einem symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsseln möchten, müssen Sie sowohl die Encrypted- als auch die KmsKeyId-Parameter, wie in Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert) gezeigt, angeben.

Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert)

Ohne aktivierte standardmäßige Verschlüsselung ist eine unverschlüsselte Snapshot-Kopie standardmäßig unverschlüsselt. Sie können jedoch den resultierenden Snapshot verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Wenn Sie KmsKeyId weglassen, wird der resultierende Snapshot mit Ihrem Standard-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselungs-ID angeben, um das Volume mit einem anderen symmetrischen KMS-Schlüssel zur Verschlüsselung zu verschlüsseln.

Das folgende Diagramm zeigt den Prozess.

Sie können ein EBS-Volume verschlüsseln, indem Sie einen unverschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren und dann ein Volume aus dem verschlüsselten Snapshot erstellen. Weitere Informationen finden Sie unter Kopieren Sie einen Amazon EBS-Snapshot.

Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für unverschlüsselte Snapshot-Kopien zwingend erforderlich und es sind keine Verschlüsselungsparameter erforderlich, wenn der Standard-Verschlüsselung verwendet wird. Das folgende Diagramm veranschaulicht diesen Standardfall.

Erneutes Verschlüsseln eines verschlüsselten Volumes

Wenn die CreateVolume-Aktion für einen verschlüsselten Snapshot ausgeführt wird, haben Sie die Möglichkeit, ihn mit einem anderen Verschlüsselung erneut zu verschlüsseln. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während der Volume-Erstellung wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch entschlüsselt und dann mit Verschlüsselung B erneut verschlüsselt.

Weitere Informationen finden Sie unter Erstellen eines Volumes von einem Snapshot.

Erneutes Verschlüsseln eines verschlüsselten Snapshots

Durch die Möglichkeit, einen Snapshot beim Kopieren zu verschlüsseln, können Sie einen neuen symmetrischen KMS-Schlüssel zur Verschlüsselung auf einen bereits verschlüsselten Snapshot anwenden, den Sie besitzen. Auf Volumes, die aus dieser verschlüsselten Kopie wiederhergestellt wurden, kann nur mit dem neuen Verschlüsselung zugegriffen werden. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während des Kopierens wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch mit Verschlüsselung B erneut verschlüsselt.

Ein ähnliches Szenario liegt vor, wenn Sie neue Verschlüsselungsparameter auf eine Kopie eines Snapshot anwenden möchten, der für Sie freigegeben wurde. Die Kopie ist standardmäßig mit einem Verschlüsselung verschlüsselt, den der Eigentümer des Snapshots freigegeben hat. Wir empfehlen jedoch, dass Sie eine Kopie des geteilten Snapshot mit einem anderen Verschlüsselung, den Sie kontrollieren, erstellen. Dies schützt Ihren Zugriff auf das Volume, wenn der Original-Verschlüsselung kompromittiert wurde oder der Eigentümer den Verschlüsselung aus einem beliebigen Grund widerruft. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren von Snapshots.

Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes

Wenn Sie Zugriff auf ein verschlüsseltes und ein unverschlüsseltes Volume haben, können Sie jederzeit Daten vom einen zum anderen übertragen. EC2 führt die Verschlüsselungs- und Entschlüsselungsvorgänge auf transparente Weise aus.

Linux-Instances

Verwenden Sie zum Beispiel den Befehl rsync zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in /mnt/source und das Ziel-Volume ist unter /mnt/destination gemountet.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Windows-Instances

Verwenden Sie zum Beispiel den Befehl robocopy zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in D:\ und das Ziel-Volume ist unter E:\ gemountet.

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

Wir empfehlen die Verwendung von Ordnern, anstatt das gesamte Volume zu kopieren, da so potenzielle Probleme mit verborgenen Ordnern vermieden werden.

Verschlüsselungsergebnisse

Die folgende Tabelle zeigt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.

Ist Verschlüsselung aktiviert?	Ist Verschlüsselung standardmäßig aktiviert?	Quelle des Volumes	Standard (kein vom Kunden verwalteter Schlüssel angegeben)	Benutzerdefiniert (vom Kunden verwalteter Schlüssel angegeben)
Nein	Nein	Neues (leeres) Volume	Unverschlüsselt	–
Nein	Nein	Unverschlüsselter eigener Snapshot	Unverschlüsselt
Nein	Nein	Verschlüsselter eigener Snapshot	Verschlüsselt mit demselben Schlüssel
Nein	Nein	Unverschlüsselter Snapshot, der mit Ihnen geteilt wird	Unverschlüsselt
Nein	Nein	Verschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel*
Ja	Nein	Neues Volume	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel	Verschlüsselt durch angegebenen vom Kunden verwalteten Schlüssel**
Ja	Nein	Unverschlüsselter eigener Snapshot	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Ja	Nein	Verschlüsselter eigener Snapshot	Verschlüsselt mit demselben Schlüssel
Ja	Nein	Unverschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Ja	Nein	Verschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Nein	Ja	Neues (leeres) Volume	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel	–
Nein	Ja	Unverschlüsselter eigener Snapshot	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Nein	Ja	Verschlüsselter eigener Snapshot	Verschlüsselt mit demselben Schlüssel
Nein	Ja	Unverschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Nein	Ja	Verschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Ja	Ja	Neues Volume	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel	Verschlüsselt durch angegebenen vom Kunden verwalteten Schlüssel
Ja	Ja	Unverschlüsselter eigener Snapshot	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Ja	Ja	Verschlüsselter eigener Snapshot	Verschlüsselt mit demselben Schlüssel
Ja	Ja	Unverschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel
Ja	Ja	Verschlüsselter Snapshot, der mit Ihnen geteilt wird	Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel

* Dies ist der vom Kunden verwaltete Standardschlüssel, der für die EBS-Verschlüsselung für das AWS Konto und die Region verwendet wird. Standardmäßig ist dies ein eindeutiger Schlüssel Von AWS verwalteter Schlüssel für EBS, oder Sie können einen vom Kunden verwalteten Schlüssel angeben. Weitere Informationen finden Sie unter Wählen Sie einen KMS-Schlüssel für die EBS-Verschlüsselung.

** Dies ist ein vom Kunden verwalteter Schlüssel, der beim Start für das Volume angegeben wurde. Dieser vom Kunden verwaltete Schlüssel wird anstelle des vom Kunden verwalteten Standardschlüssels für das AWS Konto und die Region verwendet.