Arbeiten mit Amazon-EBS-Verschlüsselung

Gehen Sie wie folgt vor, um mit der Amazon-EBS-Verschlüsselung zu arbeiten.

Auswählen eines KMS-Schlüssels für die EBS-Verschlüsselung

Amazon EBS erstellt automatisch in jeder Region, Von AWS verwalteter Schlüssel in der Sie - AWS Ressourcen speichern, einen eindeutigen . Verschlüsselung hat den Alias alias/aws/ebs. Amazon EBS verwendet standardmäßig diesen Verschlüsselung für die Verschlüsselung. Alternativ können Sie einen symmetrischen vom Kunden verwalteten Verschlüsselungsschlüssel angeben, den Sie als Standard-KMS-Schlüssel für die EBS-Verschlüsselung erstellt haben. Die Verwendung eines eigenen Verschlüsselung gibt Ihnen mehr Flexibilität, einschließlich der Fähigkeit, KMS-Schlüssel zu erstellen, zu rotieren und zu deaktivieren.

Wichtig

Amazon EBS unterstützt keine asymmetrischen KMS-Schlüssel zur Verschlüsselung. Weitere Informationen finden Sie unter Verwenden von symmetrischen und asymmetrischen KMS-Schlüsseln zur Verschlüsselung im AWS Key Management Service -Benutzerhandbuch.

Amazon EC2 console

So konfigurieren Sie den Standard-Verschlüsselung für die EBS-Verschlüsselung für eine Region

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie auf der Navigationsleiste die Region aus.

3. Wählen Sie im Navigationsbereich die Option EC2 Dashboard aus.

4. Wählen Sie oben rechts auf der Seite Kontoattribute, Datenschutz und Sicherheit aus.

5. Wählen Sie Manage (Verwalten).

6. Wählen Sie für Default encryption key (Standard-Verschlüsselungsschlüssel) einen symmetrischen vom Kunden verwalteten Schlüssel aus.

7. Wählen Sie Update EBS encryption (EBS-Verschlüsselung aktualisieren).

Standardmäßige Verschlüsselung aktivieren

Sie können Ihr AWS Konto so konfigurieren, dass es die Verschlüsselung der neuen EBS-Volumes und Snapshot-Kopien erzwingt, die Sie erstellen. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter Verschlüsseln unverschlüsselter Ressourcen.

Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus.

Überlegungen

• Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.

• Die Amazon-EBS-Verschlüsselung wird standardmäßig auf allen Instance-Typen der aktuellen Generation und der vorherigen Generation unterstützt.

• Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.

• Aktivieren Sie bei der Migration von Servern mit AWS Server Migration Service (SMS) die Verschlüsselung nicht standardmäßig. Wenn die Verschlüsselung bereits standardmäßig aktiviert ist und Delta-Replikationsfehler auftreten, schalten Sie die standardmäßige Verschlüsselung aus. Aktivieren Sie stattdessen beim Erstellen des Replikationsauftrags die AMI-Verschlüsselung.

Amazon EC2 console

So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie auf der Navigationsleiste die Region aus.

3. Wählen Sie im Navigationsbereich die Option EC2 Dashboard aus.

4. Wählen Sie oben rechts auf der Seite Kontoattribute, Datenschutz und Sicherheit aus.

5. Wählen Sie Manage (Verwalten).

6. Wählen Sie Enable (Aktivieren). Sie behalten die Von AWS verwalteter Schlüssel mit dem Alias bei, der in Ihrem Namen als Standardverschlüsselungsschlüssel alias/aws/ebs erstellt wurde, oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel aus.

7. Wählen Sie Update EBS encryption (EBS-Verschlüsselung aktualisieren).

AWS CLI

Um die Standardeinstellung der Verschlüsselung anzuzeigen

• Für eine bestimmte Region

  $ aws ec2 get-ebs-encryption-by-default --region region

• Für alle Regionen in Ihrem Konto

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

So aktivieren Sie die Verschlüsselung  standardmäßig

• Für eine bestimmte Region

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Für alle Regionen in Ihrem Konto

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

So deaktivieren Sie die Verschlüsselung  standardmäßig

• Für eine bestimmte Region

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Für alle Regionen in Ihrem Konto

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

PowerShell

Um die Standardeinstellung der Verschlüsselung anzuzeigen

• Für eine bestimmte Region

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Für alle Regionen in Ihrem Konto

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

So aktivieren Sie die Verschlüsselung  standardmäßig

• Für eine bestimmte Region

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Für alle Regionen in Ihrem Konto

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

So deaktivieren Sie die Verschlüsselung  standardmäßig

• Für eine bestimmte Region

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Für alle Regionen in Ihrem Konto

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder verschlüsselten Volume verknüpft ist, nicht mehr ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.

Verwalten der standardmäßigen Verschlüsselung mithilfe der API und CLI

Mit den folgenden API-Aktionen und CLI-Befehlen können Sie die standardmäßige Verschlüsselung und den Standard-Verschlüsselung verwalten.

API-Aktion	CLI-Befehl	Beschreibung
DisableEbsEncryptionByDefault	disable-ebs-encryption-by-Standard	Deaktiviert die standardmäßige Verschlüsselung.
EnableEbsEncryptionByDefault	enable-ebs-encryption-by-Standard	Aktiviert die standardmäßige Verschlüsselung.
GetEbsDefaultKmsKeyId	get-ebs-default-kms-key-id	Beschreibt den Standard-Verschlüsselung.
GetEbsEncryptionByDefault	get-ebs-encryption-by-Standard	Gibt an, ob die standardmäßige Verschlüsselung aktiviert ist.
ModifyEbsDefaultKmsKeyId	modify-ebs-default-kms-key-id	Ändert den zur Verschlüsselung von EBS-Volumes verwendeten Standard-Verschlüsselung.
ResetEbsDefaultKmsKeyId	reset-ebs-default-kms-key-id	Setzt den Von AWS verwalteter Schlüssel als Standard-KMS-Schlüssel zurück, der zum Verschlüsseln von EBS-Volumes verwendet wird.