Usando del cifrado con AMI con respaldo de EBS - Amazon Elastic Compute Cloud

Usando del cifrado con AMI con respaldo de EBS

Las AMI que cuentan con el respaldo de instantáneas de Amazon EBS pueden beneficiarse del cifrado Amazon EBS. Las instantáneas de datos y volúmenes raíz se pueden cifrar y adjuntar a una AMI. Puede lanzar instancias y copiar imágenes con el soporte para el cifrado EBS completo incluido. Los parámetros de cifrado para estas operaciones se admiten en todas las regiones donde AWS KMS está disponible.

Las instancias EC2 con volúmenes de EBS cifrados se lanzan desde las AMIs de la misma forma que otras instancias. Además, cuando lance una instancia desde una AMI respaldada por instantáneas EBS sin cifrar, puede cifrar algunos o todos los volúmenes durante el lanzamiento.

Al igual que con los volúmenes EBS, las instantáneas en AMI se pueden cifrar mediante la clave maestra de cliente (CMK) de AWS Key Management Service predeterminada o en la clave administrada por el cliente que especifique. En todos los casos, debe tener permiso para utilizar la clave seleccionada.

Las AMI con instantáneas cifradas se pueden compartir en cuentas de AWS. Para obtener más información, consulte AMI compartidas y .

Temas sobre cifrado con AMI con respaldo de EBS

Situaciones de lanzamiento de instancias

Las instancias Amazon EC2 se lanzan desde AMI con la acción RunInstances con los parámetros proporcionados a través de la asignación de dispositivos de bloque, ya sea a través de la Consola de administración de AWS o directamente utilizando la API o CLI de Amazon EC2. Para obtener más información sobre la asignación de dispositivos de bloques, consulte Mapeo de dispositivos de bloques y . Para obtener ejemplos del control de la asignación de dispositivos de bloqueo desde la AWS CLI, consulte Lanzamiento, enumeración y terminación de instancias EC2.

De forma predeterminada, sin parámetros de cifrado explícitos, una acción RunInstances mantiene el estado de cifrado existente de las instantáneas de origen de una AMI mientras que restaura sus volúmenes de EBS. Si se habilita Cifrado de forma predeterminada, todos los volúmenes creados desde la AMI (de instantáneas cifradas o sin filtrar) se cifrarán. Si el cifrado de forma predeterminada no está habilitado, la instancia mantiene el estado de cifrado de la AMI.

También puede lanzar una instancia y solicitar de forma simultánea un nuevo estado de cifrado para los volúmenes restantes al suministrar parámetros de cifrado. Por lo tanto, se observan los siguientes comportamientos:

Lanzar sin parámetros de cifrado

  • Una instantánea sin cifrar se restaura en un volumen sin cifrar, a menos que se habilite el cifrado de forma predeterminada, en cuyo caso se cifrarán todos los volúmenes recién creados.

  • Una instantánea cifrada que posee se restaura en un volumen que se cifra en la misma CMK.

  • Una instantánea cifrada que no posee (por ejemplo, la AMI que comparten contigo) se restaura en un volumen que se cifra mediante la CMK predeterminada de su cuenta de AWS.

Se pueden anular los comportamientos predeterminados al suministrar los parámetros de cifrado. Los parámetros disponibles son Encrypted y KmsKeyId. Establecimiento de solo los resultados del parámetro Encrypted en lo siguiente:

Comportamientos de lanzamiento de instancia con Encrypted establecido pero KmsKeyId sin especificar.

  • Una instantánea sin cifrar se restaura en un volumen de EBS que se cifra mediante la CMK predeterminada de su cuenta de AWS.

  • Una instantánea cifrada que posee se restaura en un volumen de EBS que se cifra mediante la misma CMK. (En otras palabras, el parámetro Encrypted no tiene efecto).

  • Una instantánea cifrada que no posee (es decir, la AMI que comparten con usted) se restaura en un volumen que se cifra mediante la CMK predeterminada de su cuenta de AWS. (En otras palabras, el parámetro Encrypted no tiene efecto).

El establecimiento de los parámetros Encrypted y KmsKeyId le permite especificar una CMK no predeterminada para una operación de cifrado. Se producen los siguientes comportamientos:

La instancia con Encrypted y KmsKeyId establecidos

  • Una instantánea sin cifrar se restaura en un volumen de EBS que se cifra mediante la CMK especificada.

  • Una instantánea cifrada se restaura en un volumen de EBS cifrado no en la CMK original sino en la CMK especificada.

El envío de un parámetro KmsKeyId sin establecer también el parámetro Encrypted da como resultado un error.

Las siguientes secciones ofrecen ejemplos de lanzamiento de instancias desde AMI con parámetros de cifrado no predeterminados. En cada una de estas situaciones, los parámetros suministrados para la acción RunInstances da como resultado un cambio en el estado de cifrado durante la restauración de un volumen desde una instantánea.

nota

Para obtener procedimientos detallados de la consola para lanzar una instancia desde una AMI, consulte Lanzar su instancia y .

Para ver la documentación de la API RunInstances, consulte RunInstances.

Para obtener la documentación del comando run-instances en la AWS Command Line Interface, consulte run-instances.

Cifrar un volumen durante el lanzamiento

En este ejemplo, una AMI respaldada por una instantánea sin cifrar se utiliza para lanzar una instancia EC2 con un volumen de EBS cifrado.


					Lance la instancia y cifre el volumen sobre la marcha

El parámetro Encrypted por sí solo genera el volumen para esta instancia que se va a cifrar. Proporcionar un parámetro KmsKeyId es opcional. Si no se especifica ningún ID de clave, la CMK predeterminada de la cuenta de AWS se utiliza para cifrar el volumen. Para cifrar el volumen en otra CMK que posea, proporcione el parámetro KmsKeyId.

Volver a cifrar un volumen durante el lanzamiento

En este ejemplo, una AMI respaldada por una instantánea cifrada se utiliza para lanzar una instancia EC2 con un volumen de EBS cifrado mediante una nueva CMK.


					Lance la instancia y vuelva a cifrar el volumen sobre la marcha

Si posee la AMI y no suministra parámetros de cifrado, la instancia resultante tiene un volumen cifrado mediante la misma clave que la instantánea. Si se comparte la AMI sin poseerla y no suministra parámetros de cifrado, se cifra el volumen mediante su CMK predeterminada. Con los parámetros de cifrado suministrados tal y como se muestra, el volumen se cifra mediante la CMK especificada.

Cambiar el estado de cifrado de varios volúmenes durante el lanzamiento

En este ejemplo más completo, una AMI respaldada por varias instantáneas (cada una con su propio estado de cifrado) se utiliza para lanzar una instancia EC2 con un volumen recientemente cifrado y un volumen que se ha vuelto a cifrar.


					Cifre y vuelva a cifrar varios volúmenes durante el lanzamiento

En esta situación, la acción RunInstances se suministra con parámetros de cifrado para cada una de las instantáneas del origen. Cuando se especifican todos los parámetros de cifrado posibles, la instancia resultante es la misma sin importar si posee la AMI.

Situaciones de copia de imagen

Las AMI de Amazon EC2 se copian con la acción CopyImage, mediante la Consola de administración de AWS o directamente con la API o la CLI de Amazon EC2.

De forma predeterminada, sin parámetros de cifrado explícitos, una acción CopyImage mantiene el estado de cifrado existente de las instantáneas de origen de una AMI. También puede copiar una AMI y solicitar de forma simultánea un nuevo estado de en las instantáneas de EBS asociadas al suministrar parámetros de cifrado. Por lo tanto, se observan los siguientes comportamientos:

Copiar sin parámetros de cifrado

  • Una instantánea sin cifrar se copia en otra instantánea sin cifrar, a menos que se habilite el cifrado de forma predeterminada, en cuyo caso se cifrarán todos las instantáneas recién creadas.

  • Una instantánea cifrada que posee se copia en una instantánea cifrada con la misma clave.

  • Una instantánea cifrada que no posee (es decir, la AMI que comparten con usted) se copia en una instantánea que se cifra mediante la CMK predeterminada de su cuenta de AWS.

Se pueden anular todos estos comportamientos predeterminados al suministrar los parámetros de cifrado. Los parámetros disponibles son Encrypted y KmsKeyId. Establecimiento de solo los resultados del parámetro Encrypted en lo siguiente:

Comportamientos de copy-image con Encrypted establecida pero KmsKeyId sin especificar.

  • Una instantánea sin cifrar se copia en una instantánea cifrada mediante la CMK predeterminada de la cuenta de AWS.

  • Una instantánea cifrada se copia en una instantánea cifrada mediante la misma CMK. (En otras palabras, el parámetro Encrypted no tiene efecto).

  • Una instantánea cifrada que no posee (es decir, la AMI que comparten con usted) se copia en un volumen que se cifra mediante la CMK predeterminada de su cuenta de AWS. (En otras palabras, el parámetro Encrypted no tiene efecto).

El establecimiento de los parámetros Encrypted y KmsKeyId le permite especificar una CMK administrada por el cliente para una operación de cifrado. Se producen los siguientes comportamientos:

Comportamientos de copi-image con Encrypted y KmsKeyId establecidas

  • Una instantánea sin cifrar se copia en una instantánea cifrada mediante la CMK especificada.

  • Una instantánea cifrada se copia en una instantánea cifra no en la CMK original sino en la CMK especificada.

El envío de un parámetro KmsKeyId sin establecer también el parámetro Encrypted da como resultado un error.

La siguiente sección ofrece un ejemplo de copia de una AMI con parámetros de cifrado no predeterminados, resultantes de un cambio en el estado de cifrado.

nota

Para obtener procedimientos detallados de la consola para copiar una AMI, consulte Copiar na AMI o .

Para ver la documentación de la API CopyImage, consulte CopyImage.

Para obtener la documentación del comando copy-image en la AWS Command Line Interface, consulte copy-image.

Cifrar una imagen sin cifrar durante la copia

En este caso, una AMI respaldada por una instantánea raíz no cifrada se copia en una AMI con una instantánea raíz cifrada. La acción CopyImage se llama con dos parámetros de cifrado, incluida una CMK. Como resultado, el estado de cifrado de la instantánea raíz cambia, de forma que se realiza un backup de la AMI de destino por medio de una instantánea raíz que contiene los mismos datos que la instantánea de origen, pero se cifra con la clave especificada. Se incurre en costos de almacenamiento por las instantáneas que se encuentran en ambas AMIs, además de los cargos correspondientes a las instancias que se lancen desde cualquiera de las AMI.

nota

Habilitar el cifrado de forma predeterminada tiene el mismo efecto que establecer el parámetro Encrypted en true para todas las instantáneas en la AMI.


		Copiar una AMI y cifrar una instantánea sobre la marcha

Establecer el parámetro Encrypted cifra la instantánea única de esta instancia. Si no especifica el parámetro KmsKeyId, se utiliza la CMK predeterminada para cifrar la copia de la instantánea.

nota

También puede copiar una imagen con varias instantáneas y configurar el estado de cifrado de cada una de forma individual.