Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Amazon EBS-Verschlüsselung
Wenn Sie eine verschlüsselte EBS-Ressource erstellen, wird sie mit dem Standard-VerschlüsselungIhres Kontos für die EBS-Verschlüsselung verschlüsselt, wenn Sie in den Parametern für die Volume-Erstellung oder in der Blockgerät-Zuweisung für den AMI oder die Instance keinen anderen Kundenverwalteter Schlüssel angegeben haben.
Das folgende Beispiel zeigt die Verwaltung des Verschlüsselungszustands Ihrer Volumes und Snapshots. Die vollständige Liste der Verschlüsselungsszenarien finden Sie in der Tabelle der Verschlüsselungsergebnisse.
Beispiele
Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)
Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung aktiviert)
Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert)
Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung aktiviert)
Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes
Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert)
Ohne die aktivierte standardmäßige Verschlüsselung ist ein Volume, das aus einem unverschlüsselten Snapshot wiederhergestellt wurde, standardmäßig unverschlüsselt. Sie können jedoch das resultierende Volume verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Das folgende Diagramm zeigt den Prozess.
Wenn Sie den Parameter KmsKeyId auslassen, wird das resultierende Volume mit Ihrem Standard-Verschlüsselung für die EBS-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselung-ID angeben, um das Volume mit einem anderen Verschlüsselung zu verschlüsseln.
Weitere Informationen finden Sie unter Erstellen Sie ein Amazon EBS-Volume.
Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung aktiviert)
Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für Volumes, die aus unverschlüsselten Snapshots wiederhergestellt wurden, zwingend erforderlich und es sind keine Verschlüsselungsparameter für Ihren Standard-Verschlüsselung erforderlich. Im folgenden Diagramm wird dieser einfache Standardfall veranschaulicht:
Wenn Sie das wiederhergestellte Volume mit einem symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsseln möchten, müssen Sie sowohl die Encrypted- als auch die KmsKeyId-Parameter, wie in Wiederherstellen eines unverschlüsselten Volumes (standardmäßige Verschlüsselung nicht aktiviert) gezeigt, angeben.
Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung nicht aktiviert)
Ohne aktivierte standardmäßige Verschlüsselung ist eine unverschlüsselte Snapshot-Kopie standardmäßig unverschlüsselt. Sie können jedoch den resultierenden Snapshot verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Wenn Sie KmsKeyId weglassen, wird der resultierende Snapshot mit Ihrem Standard-Verschlüsselung verschlüsselt. Sie müssen eine Verschlüsselungs-ID angeben, um das Volume mit einem anderen symmetrischen KMS-Schlüssel zur Verschlüsselung zu verschlüsseln.
Das folgende Diagramm zeigt den Prozess.
Sie können ein EBS-Volume verschlüsseln, indem Sie einen unverschlüsselten Snapshot in einen verschlüsselten Snapshot kopieren und dann ein Volume aus dem verschlüsselten Snapshot erstellen. Weitere Informationen finden Sie unter Kopieren Sie einen Amazon EBS-Snapshot.
Kopieren eines unverschlüsselten Snapshots (standardmäßige Verschlüsselung aktiviert)
Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für unverschlüsselte Snapshot-Kopien zwingend erforderlich und es sind keine Verschlüsselungsparameter erforderlich, wenn der Standard-Verschlüsselung verwendet wird. Das folgende Diagramm veranschaulicht diesen Standardfall.
Erneutes Verschlüsseln eines verschlüsselten Volumes
Wenn die CreateVolume-Aktion für einen verschlüsselten Snapshot ausgeführt wird, haben Sie die Möglichkeit, ihn mit einem anderen Verschlüsselung erneut zu verschlüsseln. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während der Volume-Erstellung wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch entschlüsselt und dann mit Verschlüsselung B erneut verschlüsselt.
Weitere Informationen finden Sie unter Erstellen Sie ein Amazon EBS-Volume.
Erneutes Verschlüsseln eines verschlüsselten Snapshots
Durch die Möglichkeit, einen Snapshot beim Kopieren zu verschlüsseln, können Sie einen neuen symmetrischen KMS-Schlüssel zur Verschlüsselung auf einen bereits verschlüsselten Snapshot anwenden, den Sie besitzen. Auf Volumes, die aus dieser verschlüsselten Kopie wiederhergestellt wurden, kann nur mit dem neuen Verschlüsselung zugegriffen werden. Das folgende Diagramm zeigt den Prozess. In diesem Beispiel besitzen Sie zwei KMS-Schlüssel, Verschlüsselung A und Verschlüsselung B. Der Quell-Snapshot wird mit Verschlüsselung A verschlüsselt. Während des Kopierens wird die Verschlüsselung-ID von Verschlüsselung B als Parameter angegeben. Die Quelldaten werden automatisch mit Verschlüsselung B erneut verschlüsselt.
Ein ähnliches Szenario liegt vor, wenn Sie neue Verschlüsselungsparameter auf eine Kopie eines Snapshot anwenden möchten, der für Sie freigegeben wurde. Die Kopie ist standardmäßig mit einem Verschlüsselung verschlüsselt, den der Eigentümer des Snapshots freigegeben hat. Wir empfehlen jedoch, dass Sie eine Kopie des geteilten Snapshot mit einem anderen Verschlüsselung, den Sie kontrollieren, erstellen. Dies schützt Ihren Zugriff auf das Volume, wenn der Original-Verschlüsselung kompromittiert wurde oder der Eigentümer den Verschlüsselung aus einem beliebigen Grund widerruft. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren von Snapshots.
Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes
Wenn Sie Zugriff sowohl auf ein verschlüsseltes als auch auf ein unverschlüsseltes Volume haben, können Sie Daten zwischen ihnen ungehindert übertragen. EC2 führt die Verschlüsselungs- und Entschlüsselungsvorgänge transparent durch.
Verwenden Sie zum Beispiel den Befehl rsync zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in /mnt/source und das Ziel-Volume ist unter /mnt/destination gemountet.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Verwenden Sie zum Beispiel den Befehl robocopy zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in D:\ und das Ziel-Volume ist unter E:\ gemountet.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Wir empfehlen die Verwendung von Ordnern, anstatt das gesamte Volume zu kopieren, da so potenzielle Probleme mit verborgenen Ordnern vermieden werden.
Verschlüsselungsergebnisse
Die folgende Tabelle zeigt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.
| Ist Verschlüsselung aktiviert? | Ist Verschlüsselung standardmäßig aktiviert? | Quelle des Volumes | Standard (kein vom Kunden verwalteter Schlüssel angegeben) | Benutzerdefiniert (vom Kunden verwalteter Schlüssel angegeben) |
|---|---|---|---|---|
| Nein | Nein | Neues (leeres) Volume | Unverschlüsselt | – |
| Nein | Nein | Unverschlüsselter eigener Snapshot | Unverschlüsselt | |
| Nein | Nein | Verschlüsselter eigener Snapshot | Verschlüsselt mit demselben Schlüssel | |
| Nein | Nein | Unverschlüsselter Snapshot, der mit Ihnen geteilt wird | Unverschlüsselt | |
| Nein | Nein | Verschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel* | |
| Ja | Nein | Neues Volume | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | Verschlüsselt durch angegebenen vom Kunden verwalteten Schlüssel** |
| Ja | Nein | Unverschlüsselter eigener Snapshot | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Ja | Nein | Verschlüsselter eigener Snapshot | Verschlüsselt mit demselben Schlüssel | |
| Ja | Nein | Unverschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Ja | Nein | Verschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Nein | Ja | Neues (leeres) Volume | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | – |
| Nein | Ja | Unverschlüsselter eigener Snapshot | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Nein | Ja | Verschlüsselter eigener Snapshot | Verschlüsselt mit demselben Schlüssel | |
| Nein | Ja | Unverschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Nein | Ja | Verschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Ja | Ja | Neues Volume | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | Verschlüsselt durch angegebenen vom Kunden verwalteten Schlüssel |
| Ja | Ja | Unverschlüsselter eigener Snapshot | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Ja | Ja | Verschlüsselter eigener Snapshot | Verschlüsselt mit demselben Schlüssel | |
| Ja | Ja | Unverschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel | |
| Ja | Ja | Verschlüsselter Snapshot, der mit Ihnen geteilt wird | Verschlüsselt durch standardmäßigen vom Kunden verwalteten Schlüssel |
* Dies ist der vom Kunden verwaltete Standardschlüssel, der für die EBS-Verschlüsselung für das AWS Konto und die Region verwendet wird. Standardmäßig ist dies ein eindeutiger Schlüssel Von AWS verwalteter Schlüssel für EBS, oder Sie können einen vom Kunden verwalteten Schlüssel angeben.
** Dies ist ein vom Kunden verwalteter Schlüssel, der beim Start für das Volume angegeben wurde. Dieser vom Kunden verwaltete Schlüssel wird anstelle des vom Kunden verwalteten Standardschlüssels für das AWS Konto und die Region verwendet.
