Cifrado de Amazon EBS - Amazon Elastic Compute Cloud

Cifrado de Amazon EBS

Utilice Cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de EBS asociados con sus instancias EC2. Con Cifrado de Amazon EBS, no es necesario crear, mantener y proteger su propia infraestructura de administración de claves. Cifrado de Amazon EBS utiliza claves maestras del cliente (CMK) de AWS Key Management Service (AWS KMS) al crear instantáneas y volúmenes cifrados.

Las operaciones de cifrado se producen en los servidores que hospedan instancias EC2, lo que garantiza la seguridad tanto de los datos en reposo como de los datos en tránsito entre la instancia y el almacenamiento de EBS adjunto.

Cómo funciona el cifrado de EBS

Puede cifrar los volúmenes de datos y de arranque de una instancia EC2. Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:

  • Datos en reposo dentro del volumen

  • Todos los datos que se mueven entre el volumen y la instancia

  • Todas las instantáneas creadas a partir del volumen

  • Todos los volúmenes creados a partir de esas instantáneas

EBS cifra el volumen con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. La clave de datos se almacena en el disco con los datos cifrados, pero no antes de que EBS la cifre con su CMK. La clave de datos nunca aparece en el disco en texto no cifrado. Las instantáneas del volumen y de cualquier volumen posterior creado a partir de ellas comparten la misma clave de datos. Para obtener más información, consulte Claves de datos en la AWS Key Management Service Developer Guide.

Amazon EBS funciona con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

  1. Amazon EBS envía una solicitud CreateGrant a AWS KMS, para que pueda descifrar la clave de datos.

  2. Amazon EBS envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, especificando la CMK que eligió para el cifrado de volumen.

  3. AWS KMS genera una nueva clave de datos, la cifra bajo la CMK que ha elegido para el cifrado de volumen y envía la clave de datos cifrada Amazon EBS para que se almacene con los metadatos del volumen.

  4. Al asociar un volumen cifrado a una instancia, Amazon EC2 envía una solicitud Decrypt (Descifrar) a AWS KMS, en la que se especifica la clave de datos cifrada.

  5. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.

  6. Amazon EC2 utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Para obtener más información, consulte Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS y Amazon EC2 ejemplo dos en la AWS Key Management Service Developer Guide.

Requisitos

Antes de comenzar, compruebe que se cumplen los siguientes requisitos.

Tipos de volumen admitidos

El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.

Tipos de instancias admitidos

Cifrado de Amazon EBS está disponible en los tipos de instancia enumerados a continuación. Puede adjuntar volúmenes cifrados y no cifrados a estos tipos de instancias simultáneamente.

  • Uso general: A1, M3, M4, M5, M5a, M5ad, M5d, M5dn, M5n, T2, T3 y T3a

  • Optimizadas para computación: C3, C4, C5, C5d, C5n

  • Optimizadas para memoria: cr1.8xlarge, R3, R4, R5, R5a, R5ad, R5d, R5dn, R5n, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, u-18tb1.metal, u-24tb1.metal, X1, X1e y z1d

  • Almacenamiento optimizado: D2, h1.2xlarge, h1.4xlarge, I2, I3, y I3en

  • Computación acelerada: F1, G2, G3, G4, P2 y P3

Permisos para los usuarios de IAM

Al configurar una CMK como clave predeterminada para el cifrado de EBS, la política de claves predeterminada permite a cualquier usuario de IAM con acceso a las acciones de KMS necesarias utilizar esta clave para cifrar o descifrar recursos de EBS. Debe conceder a los usuarios de IAM permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Para seguir la entidad principal con privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, permita al usuario crear concesiones en la CMK solo cuando un servicio de AWS haya creado la concesión en nombre del usuario, tal y como se muestra en el siguiente ejemplo:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Para obtener más información, consulte Permite el acceso a la cuenta de AWS y habilita las políticas de IAM en la sección Política de clave predeterminada de la AWS Key Management Service Developer Guide.

Clave predeterminada para el cifrado de EBS

Amazon EBS crea automáticamente una CMK administrada por AWS única en cada región en la que almacena recursos de AWS. Esta clave tiene el alias alias/aws/ebs. De manera predeterminada, Amazon EBS utiliza esta clave para el cifrado. También puede especificar una CMK simétrica administrada por el cliente que haya creado como la clave predeterminada para el cifrado de EBS. Esto le da más flexibilidad, incluida la capacidad de crear, rotar y deshabilitar las claves.

importante

Amazon EBS no admite CMK asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.

Para configurar la clave predeterminada para el cifrado de EBS en una región

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región.

  3. Elija Account Attributes (Atributos de la cuenta), Settings (Configuración).

  4. Elija Change the default key (Cambiar la clave predeterminada) y, a continuación, elija una clave disponible.

  5. Elija Update (Actualizar).

Cifrado de forma predeterminada

Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y copias de instantáneas que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrado de recursos sin cifrar.

El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.

Consideraciones

  • El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.

  • Cuando habilite el cifrado de manera predeterminada, puede lanzar una instancia solo si el tipo de instancia admite el cifrado de EBS. Para obtener más información, consulte Tipos de instancias admitidos.

  • Al migrar servidores utilizando AWS Server Migration Service (SMS), no active el cifrado de manera predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.

Para habilitar el cifrado de manera predeterminada en una región

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región.

  3. En el panel de navegación, seleccione EC2 Dashboard (Panel de EC2).

  4. En la esquina superior derecha de la página, elija Account Attributes (Atributos de cuenta), Settings (Configuración).

  5. En EBS Storage (Almacenamiento de EBS), seleccione Always encrypt new EBS volumes (Cifrar siempre los nuevos volúmenes de EBS).

  6. Elija Update (Actualizar).

No puede cambiar la CMK asociada a una instantánea o un volumen cifrado ya existente. Sin embargo, puede asociar una CMK distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva CMK.

Cifrado de recursos de EBS

Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.

Al cifrar un volumen, puede especificar la CMK simétrica que se va a utilizar para cifrar el volumen. Si no se especifica una CMK, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

No puede cambiar la CMK asociada a una instantánea o un volumen cifrado ya existente. Sin embargo, puede asociar una CMK distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva CMK.

Cifrado un volumen vacío al crearlo

Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente. De forma predeterminada, el volumen se cifra con la clave predeterminada para el cifrado de EBS. Como alternativa, puede especificar una CMK simétrica distinta para la operación de creación del volumen específico. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados consulte Creación de un volumen de Amazon EBS.

De manera predeterminada, la misma CMK que seleccionó cuando creó el volumen cifra las instantáneas que hace a partir del volumen y los volúmenes que restaura a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Uso compartido de una instantánea de Amazon EBS.

Cifrado de recursos sin cifrar

Aunque no hay forma directa de cifrar un volumen o una instantánea sin cifrar existente, puede cifrarlos creando un volumen o una instantánea. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. Tanto si habilita el cifrado de forma predeterminada como en operaciones de creación individuales, puede anular la clave predeterminada para el cifrado de EBS y seleccionar una CMK simétrica administrada por el cliente. Para obtener más información, consulte Creación de un volumen de Amazon EBS y Copia de una instantánea de Amazon EBS.

Para cifrar la copia de la instantánea en una CMK administrada por el cliente, debe habilitar el cifrado y especificar la clave, tal y como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).

importante

Amazon EBS no admite CMK asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.

También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que las AMI con respaldo EBS incluyen instantáneas de volúmenes de EBS que se pueden cifrar tal y como se describe. Para obtener más información, consulte Uso del cifrado con AMI con respaldo de EBS.

Situaciones de cifrado

Al crear un recurso de EBS cifrado, se cifra con la clave predeterminada de su cuenta para el cifrado de EBS, a menos que especifique otra CMK administrada por el cliente en los parámetros de creación del volumen o en el mapeo de dispositivos de bloques para la AMI o la instancia. Para obtener más información, consulte Clave predeterminada para el cifrado de EBS.

Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la tabla de resultados de cifrado.

Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)

Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. En el diagrama siguiente se ilustra el proceso.

Si omite el parámetro KmsKeyId, el volumen resultante se cifra con la clave predeterminada para el cifrado de EBS. Debe especificar un ID de clave para cifrar el volumen en una CMK diferente.

Para obtener más información, consulte Creación de un volumen desde una instantánea.

Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)

Cuando ha habilitado el cifrado de manera predeterminada, el cifrado es obligatorio para los volúmenes restaurados de instantáneas sin cifrar y no se precisan parámetros de cifrado para que se utilice su CMK predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:

Si desea cifrar el volumen restaurado en una CMK simétrica administrada por el cliente, debe proporcionar los parámetros Encrypted y KmsKeyId como se muestra en Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado).

Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)

Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. Si omite KmsKeyId, la instantánea resultante se cifra mediante su CMK predeterminada. Debe especificar un ID de clave para cifrar el volumen en una CMK simétrica diferente.

En el diagrama siguiente se ilustra el proceso.


                    Cree una instantánea cifrada a partir de una instantánea sin cifrar.
nota

Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

Puede cifrar un volumen de EBS copiando una instantánea inesperada en una instantánea cifrada y luego creando un volumen a partir de la instantánea cifrada. Para obtener más información, consulte Copia de una instantánea de Amazon EBS.

Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)

Cuando ha habilitado el cifrado de manera predeterminada, el cifrado es obligatorio para las copias de instantáneas sin cifrar y no se precisan parámetros de cifrado si se utiliza su CMK predeterminada. En el siguiente diagrama se ilustra caso predeterminado:


                    Cree una instantánea cifrada a partir de una instantánea sin cifrar.
nota

Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

Nuevo cifrado de un volumen cifrado

Cuando la acción CreateVolume opera en una instantánea cifrada, tiene la opción de volver a cifrarla con una CMK diferente. En el diagrama siguiente se ilustra el proceso. En este ejemplo posee dos CMK, CMK A y CMK B. La instantánea de origen se cifra mediante la CMK A. Durante la creación del volumen, con el ID de clave de la CMK B suministrado como parámetro, se descifran los datos de origen de manera automática y, a continuación, se vuelven a cifrar mediante la CMK B.


                    Copie una instantánea cifrada y cifre la copia en una nueva clave.
nota

Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

Para obtener más información, consulte Creación de un volumen desde una instantánea.

Nuevo cifrado de una instantánea cifrada

La capacidad de cifrar una instantánea durante la copia le permite aplicar una CMK simétrica nueva a una instantánea de su propiedad que ya esté cifrada. A los volúmenes restaurados a partir de las copias resultantes solo se tiene acceso con la nueva CMK. En el diagrama siguiente se ilustra el proceso. En este ejemplo posee dos CMK, CMK A y CMK B. La instantánea de origen se cifra mediante la CMK A. Durante la copia, con el ID de clave de la CMK B suministrado como parámetro, los datos de origen se vuelven a cifrar de manera automática mediante la CMK B.


                    Copie una instantánea cifrada y cifre la copia en una nueva clave.
nota

Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.

En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De manera predeterminada, la copia está cifrada con la CMK compartida por el propietario de la instantánea. Sin embargo, recomendamos crear una copia de la instantánea compartida con una CMK diferente que tenga bajo su control. Así, protege su acceso al volumen si la CMK original corre peligro o si el propietario la revoca por cualquier motivo. Para obtener más información, consulte Cifrado y copia de la instantánea.

Migrar datos entre volúmenes cifrados y no cifrados

Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2 lleva a cabo las operaciones de cifrado y descifrado con transparencia.

Por ejemplo, use el comando rsync para copiar los datos. En el siguiente comando, los datos de origen se encuentran en /mnt/source y el volumen de destino está montado en /mnt/destination.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Resultados del cifrado

En la tabla siguiente se describe el resultado del cifrado para cada posible combinación de configuraciones.

¿Está habilitado el cifrado? ¿Está habilitado el cifrado de forma predeterminada? Origen del volumen Predeterminada (CMK no especificada) Personalizada (CMK especificada)
No No Nuevo volumen (vacío) Sin cifrar N/A
No No Instantánea no cifrada que posea Sin cifrar
No No Instantánea cifrada que posea Cifrada con la misma clave
No No Instantánea no cifrada compartida con usted Sin cifrar
No No Instantánea cifrada compartida con usted Cifrada con la CMK predeterminada*
No Nuevo volumen Cifrada con la CMK predeterminada Cifrada con una CMK especificada**
No Instantánea no cifrada que posea Cifrada con la CMK predeterminada
No Instantánea cifrada que posea Cifrada con la misma clave
No Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada
No Instantánea cifrada compartida con usted Cifrada con la CMK predeterminada
No Nuevo volumen (vacío) Cifrada con la CMK predeterminada N/A
No Instantánea no cifrada que posea Cifrada con la CMK predeterminada
No Instantánea cifrada que posea Cifrada con la misma clave
No Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada
No Instantánea cifrada compartida con usted Cifrada con la CMK predeterminada
Nuevo volumen Cifrada con la CMK predeterminada Cifrada con una CMK especificada
Instantánea no cifrada que posea Cifrada con la CMK predeterminada
Instantánea cifrada que posea Cifrada con la misma clave
Instantánea no cifrada compartida con usted Cifrada con la CMK predeterminada
Instantánea cifrada compartida con usted Cifrada con la CMK predeterminada

* Es la CMK predeterminada usada para cifrado EBS para la cuenta y la región de AWS. De forma predeterminada, esta es una CMK administrada por AWS única para EBS o puede especificar una CMK administrada por el cliente. Para obtener más información, consulte Clave predeterminada para el cifrado de EBS.

** Es una CMK administrada por el cliente especificada para el volumen en el momento del lanzamiento. Esta CMK se utiliza en lugar de la CMK predeterminada de la cuenta y la región de AWS.

Configuración de los valores predeterminados de cifrado con la API y la CLI

Puede administrar el cifrado de manera predeterminada y la clave maestra del cliente (CMK) predeterminada mediante las siguientes acciones de la API y los comandos de la CLI.

Acción de la API Command de la CLI Descripción

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Deshabilita el cifrado de manera predeterminada.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Habilita el cifrado de manera predeterminada.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

Describe la CMK predeterminada.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Indica si se ha habilitado un cifrado de manera predeterminada.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

Cambia la CMK predeterminada utilizada para cifrar los volúmenes de EBS.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

Restablece la CMK predeterminada administrada por AWS como la CMK predeterminada utilizada para cifrar los volúmenes de EBS.