Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit Amazon-EBS-Verschlüsselung
Gehen Sie wie folgt vor, um mit der Amazon-EBS-Verschlüsselung zu arbeiten.
Aufgaben
Auswählen eines KMS-Schlüssels für die EBS-Verschlüsselung
Amazon EBS erstellt automatisch in jeder Region, Von AWS verwalteter Schlüssel in der Sie - AWS Ressourcen speichern, einen eindeutigen . Verschlüsselung hat den Alias alias/aws/ebs
. Amazon EBS verwendet standardmäßig diesen Verschlüsselung für die Verschlüsselung. Alternativ können Sie einen symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel angeben, den Sie als Standard-KMS-Schlüssel für die EBS-Verschlüsselung erstellt haben. Die Verwendung eines eigenen Verschlüsselung gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, KMS-Schlüssel zu erstellen, zu rotieren und zu deaktivieren.
Wichtig
Amazon EBS unterstützt keine asymmetrischen KMS-Schlüssel zur Verschlüsselung. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen KMS-Schlüsseln zur Verschlüsselung im AWS Key Management Service -Benutzerhandbuch.
Standardmäßige Verschlüsselung aktivieren
Sie können Ihr AWS Konto so konfigurieren, dass es die Verschlüsselung der neuen EBS-Volumes und Snapshot-Kopien erzwingt, die Sie erstellen. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter Verschlüsseln unverschlüsselter Ressourcen.
Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus.
Überlegungen
-
Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.
-
Die Amazon-EBS-Verschlüsselung wird standardmäßig auf allen Instance-Typen der aktuellen Generation und der vorherigen Generation unterstützt.
-
Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.
-
Aktivieren Sie bei der Migration von Servern mit AWS Server Migration Service (SMS) die Verschlüsselung nicht standardmäßig. Wenn die Verschlüsselung bereits standardmäßig aktiviert ist und Delta-Replikationsfehler auftreten, schalten Sie die standardmäßige Verschlüsselung aus. Aktivieren Sie stattdessen beim Erstellen des Replikationsauftrags die AMI-Verschlüsselung.
Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder verschlüsselten Volume verknüpft ist, nicht mehr ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.
Verwalten der standardmäßigen Verschlüsselung mithilfe der API und CLI
Mit den folgenden API-Aktionen und CLI-Befehlen können Sie die standardmäßige Verschlüsselung und den Standard-Verschlüsselung verwalten.
API-Aktion | CLI-Befehl | Beschreibung |
---|---|---|
disable-ebs-encryption-by-Standard |
Deaktiviert die standardmäßige Verschlüsselung. |
|
enable-ebs-encryption-by-Standard |
Aktiviert die standardmäßige Verschlüsselung. |
|
get-ebs-default-kms-key-id |
Beschreibt den Standard-Verschlüsselung. |
|
get-ebs-encryption-by-Standard |
Gibt an, ob die standardmäßige Verschlüsselung aktiviert ist. |
|
modify-ebs-default-kms-key-id |
Ändert den zur Verschlüsselung von EBS-Volumes verwendeten Standard-Verschlüsselung. |
|
reset-ebs-default-kms-key-id |
Setzt den Von AWS verwalteter Schlüssel als Standard-KMS-Schlüssel zurück, der zum Verschlüsseln von EBS-Volumes verwendet wird. |