Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie Amazon Elastic Block Store (Amazon EBS) AWS KMS nutzt.
In diesem Thema wird im Detail erläutert, wie Amazon Elastic Block Store (Amazon EBS) AWS KMS nutzt, um Volumes und Snapshots zu verschlüsseln. Grundlegende Anweisungen zur Verschlüsselung von EBS-Volumes finden Sie unter Amazon EBS-Verschlüsselung.
Themen
Amazon-EBS-Verschlüsselung
Wenn Sie ein verschlüsseltes Amazon-EBS-Volume einem unterstützten Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Typ zuordnen, werden sowohl die auf dem Volume gespeicherten Daten als auch die Datenträger-E/A und die von dem Volume erstellten Snapshots verschlüsselt. Die Verschlüsselung erfolgt auf den Servern, die Amazon-EC2-Instances hosten.
Diese Funktion wird für alle Typen von Amazon-EBS-Volumes unterstützt. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Die Ver- und Entschlüsselung werden transparent gehandhabt und erfordern keine weitere Aktion von Ihnen, Ihrer EC2-Instance oder Ihrer Anwendung. Snapshots von verschlüsselten Volumes werden automatisch verschlüsselt, genau wie Volumes, die auf Basis verschlüsselter Snapshots erstellt werden.
Der Verschlüsselungsstatus eines EBS-Volume wird bei der Erstellung des Volume bestimmt. Der Verschlüsselungsstatus eines vorhandenen Volume kann nicht geändert werden. Sie können jedoch Daten zwischen verschlüsselten und nicht verschlüsselten Volumes migrieren und beim Kopieren eines Snapshots einen neuen Verschlüsselungsstatus anwenden.
Amazon EBS unterstützt standardmäßig optionale Verschlüsselung. Sie können die Verschlüsselung automatisch auf allen neuen EBS-Volumes und Snapshot-Kopien in Ihrem AWS-Konto und Ihrer Region aktivieren. Diese Konfigurationseinstellung hat keine Auswirkungen auf vorhandene Volumes oder Snapshots. Details dazu finden Sie unter Standardmäßige Verschlüsselung im Amazon-EC2-Benutzerhandbuch für Linux-Instances oder Amazon-EC2-Benutzerhandbuch für Windows-Instances.
Verwenden von KMS-Schlüsseln und Datenschlüsseln
Wenn Sie ein verschlüsseltes Amazon-EBS-Volume erstellen, geben Sie einen AWS KMS key an. Amazon EBS verwendet standardmäßig Von AWS verwalteter Schlüssel für Amazon EBS in Ihrem Konto (aws/ebs
). Sie können jedoch einen kundenverwalteten Schlüssel angeben, den Sie erstellen und verwalten.
Um einen kundenverwalteten Schlüssel zu verwenden, müssen Sie Amazon EBS die Berechtigung zur Verwendung des KMS-Schlüssels in Ihrem Namen erteilen. Eine Liste der erforderlichen Berechtigungen finden Sie unter Berechtigungen für IAM-Benutzer im Amazon-EC2-Benutzerhandbuch für Linux-Instances oder Amazon-EC2 Benutzerhandbuch für Windows-Instances.
Wichtig
Amazon EBS unterstützt nur symmetrische KMS-Schlüssel. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um ein Amazon-EBS-Volume zu verschlüsseln. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.
Amazon EBS holt sich für jedes Volume einen von AWS KMS erstellten eindeutigen Datenschlüssel, der mit dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt ist. Amazon EBS speichert den verschlüsselten Datenschlüssel mit dem Volume. Wenn Sie das Volume dann an eine Amazon-EC2-Instance anhängen, ruft Amazon EBS AWS KMS auf, um den Datenschlüssel zu entschlüsseln. Amazon EBS verwendet den Klartext-Datenschlüssel im Hypervisor-Speicher, um den Disk-I/O zum Volume zu verschlüsseln. Details dazu finden Sie unter Wie EBS-Verschlüsselung funktioniert im Amazon-EC2-Benutzerhandbuch für Linux-Instances oder Amazon-EC2-Benutzerhandbuch für Windows-Instances.
Amazon-EBS-Verschlüsselungskontext
In seinen - GenerateDataKeyWithoutPlaintext und Decrypt-Anforderungen an verwendet AWS KMSAmazon EBS einen Verschlüsselungskontext mit einem Name-Wert-Paar, das das Volume oder den Snapshot in der Anforderung identifiziert. Der Name im Verschlüsselungskontext variiert nicht.
Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Für alle Volumes und für verschlüsselte Snapshots, die mit der Amazon-EBS-CreateSnapshotOperation erstellt wurden, verwendet Amazon EBS die Volume-ID als Verschlüsselungskontextwert. Im requestParameters
-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }
Für verschlüsselte Snapshots, die mit der Amazon EC2-CopySnapshotOperation erstellt wurden, verwendet Amazon EBS die Snapshot-ID als Verschlüsselungskontextwert. Im requestParameters
-Feld eines CloudTrail-Protokolleintrags sieht der Verschlüsselungskontext wie folgt aus:
"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }
Erkennen von Amazon-EBS-Fehlern
Um ein verschlüsseltes EBS-Volume zu erstellen oder das Volume an eine EC2-Instance anzufügen, müssen Amazon EBS und die Amazon-EC2-Infrastruktur in der Lage sein, den für die EBS-Volume-Verschlüsselung angegebenen KMS-Schlüssel zu verwenden. Wenn der KMS-Schlüssel nicht verwendbar ist, z. B. wenn sein Schlüsselstatus nicht Enabled
ist, schlägt die Volume-Erstellung oder das Anfügen des Volumes fehl.
In diesem Fall sendet Amazon EBS ein Ereignis an Amazon EventBridge (früher CloudWatch Ereignisse), um Sie über den Fehler zu informieren. In können Sie Regeln einrichten EventBridge, die als Reaktion auf diese Ereignisse automatische Aktionen auslösen. Weitere Informationen finden Sie unter Amazon CloudWatch Events für Amazon EBS im Amazon EC2-Benutzerhandbuch für Linux-Instances, insbesondere in den folgenden Abschnitten:
Um dieser Fehler zu beheben, vergewissern Sie sich, dass der KMS-Schlüssel, den Sie für die EBS-Volume-Verschlüsselung angegeben haben, aktiviert ist. Zu diesem Zweck zeigen Sie zunächst den KMS-Schlüssel an, um seinen aktuellen Schlüsselstatus festzustellen (die Status-Spalte in der Konsole). Sehen Sie sich dann die Informationen unter einem der folgenden Links an:
-
Wenn der Schlüsselstatus des KMS-Schlüssels deaktiviert ist, aktivieren Sie ihn.
-
Wenn der Schlüsselstatus des KMS-Schlüssels zeigt, dass der Import ausstehend ist, importieren Sie das Schlüsselmaterial.
-
Wenn der Schlüsselstatus des KMS-Schlüssels Löschung ausstehend ist, brechen Sie die Schlüssellöschung ab.
Verwenden von AWS CloudFormation zum Erstellen von verschlüsselten Amazon-EBS-Volumes
Sie können AWS CloudFormation