EBSCifrado de Amazon - Amazon EBS
Cómo funciona EBS el cifradoCifra los recursos EBSClaves giratorias AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

EBSCifrado de Amazon

Utilice el EBS cifrado de Amazon como una solución de cifrado sencilla para EBS los recursos asociados a sus EC2 instancias. Con el EBS cifrado de Amazon, no es necesario que cree, mantenga y proteja su propia infraestructura de administración de claves. EBSEl cifrado de Amazon AWS KMS keys se utiliza al crear volúmenes e instantáneas cifrados.

Las operaciones de cifrado se llevan a cabo en los servidores que alojan las EC2 instancias, lo que garantiza la seguridad data-at-rest de una instancia y su EBS almacenamiento adjunto y data-in-transit entre ellas.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente.

Contenido

Cómo funciona EBS el cifrado

Puede cifrar los volúmenes de arranque y de datos de una EC2 instancia.

Al crear un EBS volumen cifrado y adjuntarlo a un tipo de instancia compatible, se cifran los siguientes tipos de datos:

  • Datos en reposo dentro del volumen

  • Todos los datos que se mueven entre el volumen y la instancia

  • Todas las instantáneas creadas a partir del volumen

  • Todos los volúmenes creados a partir de esas instantáneas

Amazon EBS cifra el volumen con una clave de datos mediante el cifrado de datos AES -256 estándar del sector. La clave de datos se genera AWS KMS y, a continuación, se cifra AWS KMS con su AWS KMS clave antes de almacenarla con la información del volumen. Todas las instantáneas y cualquier volumen posterior creado a partir de esas instantáneas con la misma AWS KMS clave comparten la misma clave de datos. Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service .

Amazon EC2 trabaja con AWS KMS el cifrado y el descifrado de los EBS volúmenes de formas ligeramente diferentes en función de si la instantánea a partir de la que se crea un volumen cifrado está cifrada o no cifrada.

Cómo funciona el EBS cifrado cuando la instantánea está cifrada

Cuando creas un volumen cifrado a partir de una instantánea cifrada de tu propiedad, Amazon EC2 trabaja con ellos AWS KMS para cifrar y descifrar tus EBS volúmenes de la siguiente manera:

  1. Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS, especificando la KMS clave que has elegido para el cifrado por volumen.

  2. Si el volumen se cifra con la misma KMS clave que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y lo cifra con esa misma KMS clave. Si el volumen se cifra con una KMS clave diferente, AWS KMS genera una nueva clave de datos y la cifra con la KMS clave que especificó. La clave de datos cifrada se envía a Amazon EBS para que se almacene junto con los metadatos del volumen.

  3. Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud para que AWS KMS pueda descifrar la clave de datos.

  4. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon. EC2

  5. Amazon EC2 utiliza la clave de datos de texto simple del hardware Nitro para cifrar las E/S del disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Cómo funciona el EBS cifrado cuando la instantánea no está cifrada

Cuando creas un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con él AWS KMS para cifrar y descifrar tus EBS volúmenes de la siguiente manera:

  1. Amazon EC2 envía una CreateGrantsolicitud a AWS KMS, para que pueda cifrar el volumen que se crea a partir de la instantánea.

  2. Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS, especificando la KMS clave que has elegido para el cifrado por volumen.

  3. AWS KMS genera una nueva clave de datos, la cifra con la KMS clave que ha elegido para el cifrado de volumen y envía la clave de datos cifrada EBS a Amazon para que la almacene con los metadatos del volumen.

  4. Amazon EC2 envía una solicitud de descifrado AWS KMS a para descifrar la clave de datos cifrados, que luego utiliza para cifrar los datos del volumen.

  5. Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud a para AWS KMS que pueda descifrar la clave de datos.

  6. Cuando adjuntas el volumen cifrado a una instancia, Amazon EC2 envía una solicitud de descifrado a AWS KMS la que especifica la clave de datos cifrados.

  7. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon. EC2

  8. Amazon EC2 utiliza la clave de datos de texto simple del hardware Nitro para cifrar las E/S del disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Para obtener más información, consulta Cómo usa Amazon Elastic Block Store (AmazonEBS) AWS KMS y el segundo EC2 ejemplo de Amazon en la Guía para AWS Key Management Service desarrolladores.

Cómo afectan KMS las claves inutilizables a las claves de datos

Cuando una KMS clave queda inutilizable, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de la KMS clave cambia para reflejar su nueva condición, y todas las solicitudes de uso de la KMS clave en operaciones criptográficas fallan.

Cuando realizas una acción que inutiliza la KMS clave, no se produce ningún efecto inmediato en la EC2 instancia o en los volúmenes adjuntosEBS. Amazon EC2 usa la clave de datos, no la KMS clave, para cifrar todas las E/S del disco mientras el volumen está conectado a la instancia.

Sin embargo, cuando el EBS volumen cifrado se separa de la EC2 instancia, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el EBS volumen cifrado se adjunte a una EC2 instancia, el archivo adjunto fallará porque Amazon EBS no puede usar la KMS clave para descifrar la clave de datos cifrados del volumen. Para volver a utilizar el EBS volumen, debe hacer que la KMS clave se pueda volver a utilizar.

sugerencia

Si ya no desea acceder a los datos almacenados en un EBS volumen cifrado con una clave de datos generada a partir de una KMS clave que pretende inutilizar, le recomendamos que separe el EBS volumen de la EC2 instancia antes de inutilizar la KMS clave.

Para obtener más información, consulte Cómo afectan KMS las claves inutilizables a las claves de datos en la Guía para desarrolladores.AWS Key Management Service

Cifra los recursos EBS

EBSLos volúmenes se cifran activando el cifrado, ya sea mediante el cifrado de forma predeterminada o activándolo al crear un volumen que se desee cifrar.

Al cifrar un volumen, puede especificar la KMS clave de cifrado simétrica que se utilizará para cifrar el volumen. Si no especifica una KMS clave, la KMS clave que se utilice para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

nota

Si utiliza la API o AWS CLI para especificar una KMS clave, tenga en cuenta que AWS autentica la KMS clave de forma asíncrona. Si especificas un identificador de KMS clave, un alias o un identificador que no es válido, puede parecer ARN que la acción se ha completado, pero al final se produce un error.

No puede cambiar la KMS clave asociada a una instantánea o volumen existente. Sin embargo, puede asociar una KMS clave diferente durante una operación de copia de una instantánea para que la instantánea copiada resultante se cifre con la nueva KMS clave.

Cifrar un volumen vacío al crearlo

Al crear un EBS volumen nuevo y vacío, puede cifrarlo activando el cifrado para la operación de creación del volumen específico. Si ha activado el EBS cifrado de forma predeterminada, el volumen se cifra automáticamente con la KMS clave de EBS cifrado predeterminada. Como alternativa, puede especificar una KMS clave de cifrado simétrica diferente para la operación específica de creación del volumen. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte Creación de un volumen de Amazon EBS..

De forma predeterminada, la KMS clave que seleccionó al crear un volumen cifra las instantáneas que cree a partir del volumen y los volúmenes que restaure a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Comparte una EBS instantánea de Amazon.

Cifrar recursos no cifrados

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si habilitas el cifrado de forma predeterminada, Amazon cifra EBS automáticamente los nuevos volúmenes e instantáneas con tu KMS clave de cifrado predeterminada. EBS De lo contrario, puede habilitar el cifrado al crear un volumen o una instantánea individual, utilizando la KMS clave predeterminada para el cifrado de Amazon o una clave de EBS cifrado simétrica gestionada por el cliente. Para obtener más información, consulte Creación de un volumen de Amazon EBS. y Copiar una EBS instantánea de Amazon.

Para cifrar la copia instantánea en una clave gestionada por el cliente, debe habilitar el cifrado y especificar la KMS clave, tal y como se muestra en la siguiente. Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)

importante

Amazon EBS no admite KMS claves de cifrado asimétricas. Para obtener más información, consulte Uso de KMS claves de cifrado simétricas y asimétricas en la AWS Key Management Service Guía para desarrolladores.

También puedes aplicar nuevos estados de cifrado al lanzar una instancia desde una EBS instancia con respaldo. AMI Esto se debe a que las EBS copias respaldadas por el código «-back» AMIs incluyen instantáneas de EBS volúmenes que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con EBS respaldo. AMIs

Claves giratorias AWS KMS

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado.

Para crear nuevo material criptográfico para usarlo con el EBS cifrado de Amazon, puedes crear una nueva clave gestionada por el cliente y, a continuación, cambiar tus aplicaciones para que usen esa nueva KMS clave. También puede habilitar la rotación automática de claves para una clave administrada por el cliente existente.

Al activar la rotación automática de claves para una clave gestionada por el cliente, se AWS KMS genera nuevo material criptográfico para la KMS clave cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda seguir descifrando y utilizando volúmenes e instantáneas previamente cifrados con ese material clave. KMS AWS KMS no elimina ningún material de clave girado hasta que elimine la clave. KMS

Cuando utiliza una clave girada gestionada por el cliente para cifrar un volumen o una instantánea nuevos, AWS KMS utiliza el material clave actual (nuevo). Cuando utiliza una clave girada gestionada por el cliente para descifrar un volumen o una instantánea, AWS KMS utiliza la versión del material criptográfico que se utilizó para cifrarlo. Si un volumen o una instantánea están cifrados con una versión anterior del material criptográfico, seguirán utilizando esa versión AWS KMS anterior para descifrarlos. AWS KMS no vuelve a cifrar los volúmenes o instantáneas previamente cifrados para utilizar el nuevo material criptográfico tras una rotación de claves. Permanecen cifrados con el material criptográfico con el que se cifraron originalmente. Puede utilizar de forma segura una clave girada gestionada por el cliente en aplicaciones y AWS servicios sin necesidad de cambiar el código.

nota

  • La rotación automática de claves solo se admite para claves simétricas administradas por el cliente con material clave que se AWS KMS crea.

  • AWS KMS rota automáticamente Claves administradas por AWS cada año. No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

Para obtener más información, consulte la KMSclave giratoria en la guía para AWS Key Management Service desarrolladores.