Amazon-EBS-Volume-Verschlüsselung - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-EBS-Volume-Verschlüsselung

Amazon EBS bietet Volume-Verschlüsselungsfunktionen. Jedes Volume wird mithilfe von AES-256-XTS verschlüsselt. Dies erfordert zwei 256-Bit-Volume-Schlüssel, die Sie sich als einen 512-Bit-Volume-Schlüssel vorstellen können. Der Volume-Schlüssel wird unter einem KMS-Schlüssel in Ihrem Konto verschlüsselt. Damit Amazon EBS ein Volume für Sie verschlüsselt, muss es Zugriff haben, um einen Volume-Schlüssel (Volume key, VK) unter einem KMS-Schlüssel im Konto zu generieren. Sie tun dies, indem Sie Amazon EBS für den KMS-Schlüssel gewähren, um Datenschlüssel zu erstellen und diese Volume-Schlüssel zu verschlüsseln und zu entschlüsseln. Amazon EBS verwendet AWS KMS jetzt einen KMS-Schlüssel, um AWS KMS verschlüsselte Volume-Schlüssel zu generieren.

Amazon EBS-Volumenverschlüsselung mit AWS KMS Schlüsseln.

Der folgende Workflow verschlüsselt Daten, die auf ein Amazon-EBS-Volume geschrieben werden:

  1. Amazon EBS erhält AWS KMS über eine TLS-Sitzung einen verschlüsselten Volume-Schlüssel unter einem KMS-Schlüssel und speichert den verschlüsselten Schlüssel zusammen mit den Volume-Metadaten.

  2. Wenn das Amazon-EBS-Volume bereitgestellt wird, wird der verschlüsselte Volume-Schlüssel abgerufen.

  3. Es erfolgt ein Aufruf AWS KMS über TLS, um den verschlüsselten Volumeschlüssel zu entschlüsseln. AWS KMS identifiziert den KMS-Schlüssel und sendet eine interne Anfrage an ein HSM in der Flotte, um den verschlüsselten Volumeschlüssel zu entschlüsseln. AWS KMS gibt dann den Volume-Schlüssel über die TLS-Sitzung zurück an den Amazon Elastic Compute Cloud (Amazon EC2) -Host, der Ihre Instance enthält.

  4. Der Volume-Schlüssel wird zum Verschlüsseln und Entschlüsseln aller Daten verwendet, die zum und vom angeschlossenen Amazon-EBS-Volume gehen. Amazon EBS bewahrt den verschlüsselten Volume-Schlüssel für die spätere Verwendung auf, falls der Volume-Schlüssel im Speicher nicht mehr verfügbar ist.

Weitere Informationen zur Verschlüsselung von Amazon EBS-Volumes mit KMS-Schlüsseln finden Sie unter So verwendet Amazon Elastic Block Store AWS KMS im AWS Key Management Service Entwicklerhandbuch und Amazon EBS-Verschlüsselung im EC2 Amazon-Benutzerhandbuch und EC2 Amazon-Benutzerhandbuch.