Cifrado de Amazon EBS
Utilice Cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de EBS asociados con sus instancias EC2. Con Cifrado de Amazon EBS, no es necesario crear, mantener y proteger su propia infraestructura de administración de claves. Cifrado de Amazon EBS utiliza claves maestras del cliente (CMK) de AWS Key Management Service (AWS KMS) al crear instantáneas y volúmenes cifrados.
Las operaciones de cifrado se producen en los servidores que hospedan instancias EC2, lo que garantiza la seguridad tanto de los datos en reposo como de los datos en tránsito entre la instancia y el almacenamiento de EBS adjunto.
Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente
Contenido
Cómo funciona el cifrado de EBS
Puede cifrar los volúmenes de datos y de arranque de una instancia EC2. Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:
-
Datos en reposo dentro del volumen
-
Todos los datos que se mueven entre el volumen y la instancia
-
Todas las instantáneas creadas a partir del volumen
-
Todos los volúmenes creados a partir de esas instantáneas
EBS cifra el volumen con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. La clave de datos se almacena en el disco con los datos cifrados, pero no antes de que EBS la cifre con su CMK. La clave de datos nunca aparece en el disco en texto no cifrado. Las instantáneas del volumen y de cualquier volumen posterior creado a partir de ellas comparten la misma clave de datos. Para obtener más información, consulte Claves de datos en la AWS Key Management Service Developer Guide.
Amazon EBS funciona con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:
-
Amazon EBS envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, especificando la CMK que eligió para el cifrado de volumen.
-
AWS KMS genera una nueva clave de datos, la cifra bajo la CMK que ha elegido para el cifrado de volumen y envía la clave de datos cifrada Amazon EBS para que se almacene con los metadatos del volumen.
-
Al asociar un volumen cifrado a una instancia, Amazon EC2 envía una solicitud Decrypt (Descifrar) a AWS KMS, en la que se especifica la clave de datos cifrada.
-
Amazon EBS envía una solicitud CreateGrant a AWS KMS, para que pueda descifrar la clave de datos.
-
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.
-
Amazon EC2 utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.
Para obtener más información, consulte Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS y Amazon EC2 ejemplo dos en la AWS Key Management Service Developer Guide.
Requisitos
Antes de comenzar, compruebe que se cumplen los siguientes requisitos.
Tipos de volumen admitidos
El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.
Tipos de instancias admitidos
Cifrado de Amazon EBS está disponible en todos los tipos de instancia de la generación actual y en los siguientes tipos de instancia de la generación anterior: A1, C3, cr1.8xlarge, G2, I2, M3 y R3.
Permisos para los usuarios de IAM
Al configurar una CMK como clave predeterminada para el cifrado de EBS, la política de claves predeterminada permite a cualquier usuario de IAM con acceso a las acciones de KMS necesarias utilizar esta clave para cifrar o descifrar recursos de EBS. Debe conceder a los usuarios de IAM permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En cambio, permita al usuario crear concesiones en la CMK solo cuando un servicio
de AWS haya creado la concesión en nombre del usuario, tal y como se muestra en el
siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener más información, consulte Permite el acceso a la cuenta de AWS y habilita las políticas de IAM en la sección Política de clave predeterminada de la AWS Key Management Service Developer Guide.
Clave predeterminada para el cifrado de EBS
Amazon EBS crea automáticamente una CMK administrada por AWS única en cada región
en la que almacena recursos de AWS. Esta clave tiene el alias alias/aws/ebs. De manera predeterminada, Amazon EBS utiliza esta clave para el cifrado. También
puede especificar una CMK simétrica administrada por el cliente que haya creado como
la clave predeterminada para el cifrado de EBS. Esto le da más flexibilidad, incluida
la capacidad de crear, rotar y deshabilitar las claves.
Amazon EBS no admite CMK asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.
Cifrado de forma predeterminada
Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y copias de instantáneas que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrar recursos no cifrados.
El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.
Consideraciones
-
El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.
-
Cuando habilite el cifrado de manera predeterminada, puede lanzar una instancia solo si el tipo de instancia admite el cifrado de EBS. Para obtener más información, consulte Tipos de instancias admitidos.
-
Al migrar servidores utilizando AWS Server Migration Service (SMS), no active el cifrado de manera predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.
No puede cambiar la CMK asociada a una instantánea o un volumen cifrado ya existente. Sin embargo, puede asociar una CMK distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva CMK.
Cifrar recursos de EBS
Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.
Al cifrar un volumen, puede especificar la CMK simétrica que se va a utilizar para cifrar el volumen. Si no se especifica una CMK, la clave que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.
Si utiliza la API o la AWS CLI para especificar una CMK, tenga en cuenta que AWS autentica la CMK de forma asíncrona. Por lo tanto, si especifica un ID, un alias o un ARN que no es válido, puede parecer que la acción se completa, pero acabará produciendo un error.
No puede cambiar la CMK asociada a una instantánea o un volumen cifrado ya existente. Sin embargo, puede asociar una CMK distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva CMK.
Cifrar un volumen vacío al crearlo
Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente. De forma predeterminada, el volumen se cifra con la clave predeterminada para el cifrado de EBS. Como alternativa, puede especificar una CMK simétrica distinta para la operación de creación del volumen específico. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados consulte Crear un volumen de Amazon EBS.
De manera predeterminada, la misma CMK que seleccionó cuando creó el volumen cifra las instantáneas que hace a partir del volumen y los volúmenes que restaura a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.
Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Compartir una instantánea de Amazon EBS.
Cifrar recursos no cifrados
Aunque no hay forma directa de cifrar un volumen o una instantánea sin cifrar existente, puede cifrarlos creando un volumen o una instantánea. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. Tanto si habilita el cifrado de forma predeterminada como en operaciones de creación individuales, puede anular la clave predeterminada para el cifrado de EBS y seleccionar una CMK simétrica administrada por el cliente. Para obtener más información, consulte Crear un volumen de Amazon EBS y Copiar una instantánea de Amazon EBS.
Para cifrar la copia de la instantánea en una CMK administrada por el cliente, debe habilitar el cifrado y especificar la clave, tal y como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).
Amazon EBS no admite CMK asimétricas. Para obtener más información, consulte Uso de claves simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.
También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que las AMI con respaldo EBS incluyen instantáneas de volúmenes de EBS que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con las AMI con respaldo de EBS.
Situaciones de cifrado
Al crear un recurso de EBS cifrado, se cifra con la clave predeterminada de su cuenta para el cifrado de EBS, a menos que especifique otra CMK administrada por el cliente en los parámetros de creación del volumen o en el mapeo de dispositivos de bloques para la AMI o la instancia. Para obtener más información, consulte Clave predeterminada para el cifrado de EBS.
Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la tabla de resultados de cifrado.
Ejemplos
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
- Nuevo cifrado de un volumen cifrado
- Nuevo cifrado de una instantánea cifrada
- Migrar datos entre volúmenes cifrados y no cifrados
- Resultados del cifrado
Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea
sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen
resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. En el diagrama siguiente se ilustra el proceso.
Si omite el parámetro KmsKeyId, el volumen resultante se cifra con la clave predeterminada para el cifrado de EBS.
Debe especificar un ID de clave para cifrar el volumen en una CMK diferente.
Para obtener más información, consulte Crear de un volumen desde una instantánea.
Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de manera predeterminada, el cifrado es obligatorio para los volúmenes restaurados de instantáneas sin cifrar y no se precisan parámetros de cifrado para que se utilice su CMK predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:
Si desea cifrar el volumen restaurado en una CMK simétrica administrada por el cliente,
debe proporcionar los parámetros Encrypted y KmsKeyId como se muestra en Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado).
Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin
cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea
resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. Si omite KmsKeyId, la instantánea resultante se cifra mediante su CMK predeterminada. Debe especificar
un ID de clave para cifrar el volumen en una CMK simétrica diferente.
En el diagrama siguiente se ilustra el proceso.
Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.
Puede cifrar un volumen de EBS copiando una instantánea inesperada en una instantánea cifrada y luego creando un volumen a partir de la instantánea cifrada. Para obtener más información, consulte Copiar una instantánea de Amazon EBS.
Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de manera predeterminada, el cifrado es obligatorio para las copias de instantáneas sin cifrar y no se precisan parámetros de cifrado si se utiliza su CMK predeterminada. En el siguiente diagrama se ilustra caso predeterminado:
Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.
Nuevo cifrado de un volumen cifrado
Cuando la acción CreateVolume opera en una instantánea cifrada, tiene la opción de volver a cifrarla con una CMK
diferente. En el diagrama siguiente se ilustra el proceso. En este ejemplo posee dos
CMK, CMK A y CMK B. La instantánea de origen se cifra mediante la CMK A. Durante la
creación del volumen, con el ID de clave de la CMK B suministrado como parámetro,
se descifran los datos de origen de manera automática y, a continuación, se vuelven
a cifrar mediante la CMK B.
Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.
Para obtener más información, consulte Crear de un volumen desde una instantánea.
Nuevo cifrado de una instantánea cifrada
La capacidad de cifrar una instantánea durante la copia le permite aplicar una CMK simétrica nueva a una instantánea de su propiedad que ya esté cifrada. A los volúmenes restaurados a partir de las copias resultantes solo se tiene acceso con la nueva CMK. En el diagrama siguiente se ilustra el proceso. En este ejemplo posee dos CMK, CMK A y CMK B. La instantánea de origen se cifra mediante la CMK A. Durante la copia, con el ID de clave de la CMK B suministrado como parámetro, los datos de origen se vuelven a cifrar de manera automática mediante la CMK B.
Si copia una instantánea y la cifra con una nueva CMK, siempre se crea una copia completa (no incremental), lo que se traduce en costos de almacenamiento y retrasos adicionales.
En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De manera predeterminada, la copia está cifrada con la CMK compartida por el propietario de la instantánea. Sin embargo, recomendamos crear una copia de la instantánea compartida con una CMK diferente que tenga bajo su control. Así, protege su acceso al volumen si la CMK original corre peligro o si el propietario la revoca por cualquier motivo. Para obtener más información, consulte Cifrado y copia de la instantánea.
Migrar datos entre volúmenes cifrados y no cifrados
Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2 lleva a cabo las operaciones de cifrado y descifrado con transparencia.
Por ejemplo, use el comando rsync para copiar los datos. En el siguiente comando, los datos de origen se encuentran
en /mnt/source y el volumen de destino está montado en /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Resultados del cifrado
En la tabla siguiente se describe el resultado del cifrado para cada posible combinación de configuraciones.
| ¿Está habilitado el cifrado? | ¿Está habilitado el cifrado de forma predeterminada? | Origen del volumen | Predeterminada (CMK no especificada) | Personalizada (CMK especificada) |
|---|---|---|---|---|
| No | No | Nuevo volumen (vacío) | Sin cifrar | N/A |
| No | No | Instantánea no cifrada que posea | Sin cifrar | |
| No | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | No | Instantánea no cifrada compartida con usted | Sin cifrar | |
| No | No | Instantánea cifrada compartida con usted | Cifrada con la CMK predeterminada* | |
| Sí | No | Nuevo volumen | Cifrada con la CMK predeterminada | Cifrada con una CMK especificada** |
| Sí | No | Instantánea no cifrada que posea | Cifrada con la CMK predeterminada | |
| Sí | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | No | Instantánea no cifrada compartida con usted | Cifrada con la CMK predeterminada | |
| Sí | No | Instantánea cifrada compartida con usted | Cifrada con la CMK predeterminada | |
| No | Sí | Nuevo volumen (vacío) | Cifrada con la CMK predeterminada | N/A |
| No | Sí | Instantánea no cifrada que posea | Cifrada con la CMK predeterminada | |
| No | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | Sí | Instantánea no cifrada compartida con usted | Cifrada con la CMK predeterminada | |
| No | Sí | Instantánea cifrada compartida con usted | Cifrada con la CMK predeterminada | |
| Sí | Sí | Nuevo volumen | Cifrada con la CMK predeterminada | Cifrada con una CMK especificada |
| Sí | Sí | Instantánea no cifrada que posea | Cifrada con la CMK predeterminada | |
| Sí | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | Sí | Instantánea no cifrada compartida con usted | Cifrada con la CMK predeterminada | |
| Sí | Sí | Instantánea cifrada compartida con usted | Cifrada con la CMK predeterminada |
* Es la CMK predeterminada usada para cifrado EBS para la cuenta y la región de AWS. De forma predeterminada, esta es una CMK administrada por AWS única para EBS o puede especificar una CMK administrada por el cliente. Para obtener más información, consulte Clave predeterminada para el cifrado de EBS.
** Es una CMK administrada por el cliente especificada para el volumen en el momento del lanzamiento. Esta CMK se utiliza en lugar de la CMK predeterminada de la cuenta y la región de AWS.
Configurar los valores predeterminados de cifrado con la API y la CLI
Puede administrar el cifrado de manera predeterminada y la clave maestra del cliente (CMK) predeterminada mediante las siguientes acciones de la API y los comandos de la CLI.
| Acción de la API | Command de la CLI | Descripción |
|---|---|---|
| disable-ebs-encryption-by-default |
Deshabilita el cifrado de manera predeterminada. |
|
| enable-ebs-encryption-by-default |
Habilita el cifrado de manera predeterminada. |
|
| get-ebs-default-kms-key-id |
Describe la CMK predeterminada. |
|
| get-ebs-encryption-by-default |
Indica si se ha habilitado un cifrado de manera predeterminada. |
|
| modify-ebs-default-kms-key-id |
Cambia la CMK predeterminada utilizada para cifrar los volúmenes de EBS. |
|
| reset-ebs-default-kms-key-id |
Restablece la CMK predeterminada administrada por AWS como la CMK predeterminada utilizada para cifrar los volúmenes de EBS. |
