Cómo funciona el cifrado de EBS Cifrar recursos de EBS Rotar claves AWS KMS

Cifrado de Amazon EBS

Utilice Cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de EBS asociados con sus instancias EC2. Con el cifrado de Amazon EBS, no tendrá que crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS keys cuando crea volúmenes e instantáneas cifrados.

Las operaciones de cifrado se producen en los servidores que alojan instancias EC2, lo que garantiza la seguridad tanto de los datos en reposo como de los datos en tránsito entre la instancia y el almacenamiento de EBS adjunto.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente.

Contenido

Cómo funciona el cifrado de EBS

Puede cifrar los volúmenes de datos y de arranque de una instancia EC2.

Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:

Datos en reposo dentro del volumen
Todos los datos que se mueven entre el volumen y la instancia
Todas las instantáneas creadas a partir del volumen
Todos los volúmenes creados a partir de esas instantáneas

Amazon EBS cifra el volumen con una clave de datos que utiliza el cifrado de datos estándar de la industria AES-256. La clave de datos se genera mediante AWS KMS y, a continuación, se cifra mediante AWS KMS con la clave de AWS KMS antes de almacenarse con la información del volumen. Todas las instantáneas, y los volúmenes posteriores creados a partir de dichas instantáneas con la misma clave de AWS KMS, comparten la misma clave de datos. Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service.

Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de maneras ligeramente diferentes, dependiendo de si la instantánea a partir de la que se crea un volumen cifrado está cifrada o no.

Funcionamiento del cifrado de EBS cuando se cifra la instantánea

Cuando crea un volumen cifrado a partir de una instantánea cifrada de su propiedad, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

Amazon EC2 envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, que especifica la clave de KMS que eligió para el cifrado del volumen.
Si el volumen se cifra con la misma clave de KMS que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y lo cifra con esa misma clave de KMS. Si el volumen se cifra con una clave de KMS diferente, AWS KMS genera una nueva clave de datos y lo cifra con la clave de KMS que se haya especificado. La clave de datos cifrada se envía a Amazon EBS para almacenarla con los metadatos del volumen.
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda descifrar la clave de datos.
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.
Amazon EC2 utiliza la clave de datos de texto no cifrado en el hardware de Nitro para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Funcionamiento del cifrado de EBS cuando la instantánea no está cifrada

Cuando crea un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda cifrar el volumen que se crea a partir de la instantánea.
Amazon EC2 envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, que especifica la clave de KMS que eligió para el cifrado del volumen.
AWS KMS genera una clave de datos nueva, la cifra bajo la clave de KMS que usted eligió para el cifrado del volumen y envía la clave de datos cifrada a Amazon EBS para que se almacene con los metadatos del volumen.
Amazon EC2 envía una solicitud Decrypt a AWS KMS para obtener la clave de cifrado para cifrar los datos del volumen.
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda descifrar la clave de datos.
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud Decrypt a AWS KMS, en la que se especifica la clave de datos cifrada.
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.
Amazon EC2 utiliza la clave de datos de texto no cifrado en el hardware de Nitro para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Para obtener más información, consulte Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS y Amazon EC2 ejemplo dos en la Guía para desarrolladores de AWS Key Management Service.

Cómo afectan las claves de KMS obsoletas a las claves de datos

Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de clave de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en operaciones criptográficas fallan.

Cuando se realiza una acción que inutiliza la clave de KMS, no se produce ningún efecto inmediato en la instancia de EC2 ni en los volúmenes de EBS asociados. Amazon EC2 usa la clave de datos, no la clave de KMS, para cifrar todas las E/S de disco mientras el volumen esté asociado a la instancia.

Sin embargo, cuando el volumen de EBS cifrado se separa de la instancia de EC2, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen EBS cifrado se asocia a una instancia EC2, el accesorio devuelve un error, dado que Amazon EBS no puede utilizar la clave KMS para descifrar la clave de datos cifrada del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.

sugerencia

Si ya no desea acceder a los datos almacenados en un volumen de EBS cifrado con una clave de datos generada a partir de una clave de KMS que pretende inutilizar, le recomendamos que separe el volumen de EBS de la instancia de EC2 antes de inutilizar la clave de KMS.

Para obtener más información, consulte Cómo afectan las claves de KMS inutilizables a las claves de datos en la Guía para desarrolladores de AWS Key Management Service.

Cifrar recursos de EBS

Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.

Cuando cifra un volumen, puede especificar la clave de cifrado de KMS simétrica que se utilizará para cifrar el volumen. Si no especifica una Clave de KMS, la Clave de KMS que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

nota

Si utiliza la API o la AWS CLI para especificar una clave de KMS, tenga en cuenta que AWS autentica la clave de KMS de forma asíncrona. Si especifica un ID de Clave de KMS, un alias o un ARN que no es válido, puede parecer que la acción se ha completado, pero eventualmente falla.

No puede cambiar la Clave de KMS que está asociada a una instantánea o volumen existente. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

Cifrar un volumen vacío al crearlo

Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente con la Clave de KMS predeterminada para el cifrado de EBS. Como alternativa, puede especificar una clave de cifrado de KMS simétrica diferente para la operación de creación de volumen específica. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte Creación de un volumen de Amazon EBS..

De forma predeterminada, la Clave de KMS que seleccionó al crear un volumen cifra las instantáneas que realice a partir del volumen y los volúmenes que se restauran a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Compartir una instantánea de Amazon EBS.

Cifrar recursos no cifrados

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra volúmenes o instantáneas nuevos mediante la clave de KMS predeterminada para el cifrado de EBS. En caso contrario, puede habilitar el cifrado cuando cree un volumen o una instantánea individuales, mediante la clave de KMS predeterminada para el cifrado de Amazon EBS o una clave de cifrado administrada por el cliente simétrica. Para obtener más información, consulte Creación de un volumen de Amazon EBS. y Copia de una instantánea de Amazon EBS.

Para cifrar la copia instantánea en una Clave administrada por el cliente, debe habilitar el cifrado y especificar la Clave de KMS, como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).

importante

Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.

También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que las AMI con respaldo EBS incluyen instantáneas de volúmenes de EBS que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con las AMI basadas en EBS.

Rotar claves AWS KMS

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado. Para crear nuevo material criptográfico para su clave KMS, puede crear una nueva clave KMS y, a continuación, cambiar sus aplicaciones o alias para que utilice la clave nueva. También puede activar la rotación automática de claves para una clave KMS existente.

Al habilitar la rotación automática de claves para una clave KMS, AWS KMS genera nuevo material criptográfico para la clave KMS cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda descifrar cualquier dato cifrado con esa clave KMS. AWS KMS no elimina ningún material de claves rotado hasta que se elimina la clave KMS.

Cuando se utiliza una clave KMS rotada para el cifrado, AWS KMS utiliza la el material de claves actual. Cuando se utiliza la clave KMS rotada para descifrar los datos, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. Puede utilizar de forma segura una clave KMS rotada en aplicaciones y servicios de AWS sin cambios de código.

nota

La rotación automática de claves solo es compatible con claves simétricas gestionadas por el cliente con material clave que crea AWS KMS. AWS KMS rota las Claves administradas por AWS automáticamente cada año. No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

Para obtener más información, consulte Rotación de clave de KMS en la Guía para desarrolladores de AWS Key Management Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Instantáneas locales en Outposts

Requisitos