Cifrado de Amazon EBS
Utilice Cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de EBS asociados con sus instancias EC2. Con el cifrado de Amazon EBS, no tendrá que crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS keys cuando crea volúmenes e instantáneas cifrados.
Las operaciones de cifrado se producen en los servidores que alojan instancias EC2, lo que garantiza la seguridad tanto de los datos en reposo como de los datos en tránsito entre la instancia y el almacenamiento de EBS adjunto.
Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente.
Contenido
Cómo funciona el cifrado de EBS
Puede cifrar los volúmenes de datos y de arranque de una instancia EC2.
Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:
-
Datos en reposo dentro del volumen
-
Todos los datos que se mueven entre el volumen y la instancia
-
Todas las instantáneas creadas a partir del volumen
-
Todos los volúmenes creados a partir de esas instantáneas
EBS cifra el volumen con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. La clave de datos se almacena en el disco con los datos cifrados, pero no antes de que EBS la cifre con la Clave de KMS. La clave de datos nunca aparece en el disco como texto no cifrado. Las instantáneas del volumen y cualquier volumen posterior creado a partir de ellas comparten la misma clave de datos si los volúmenes se cifran con la misma clave de KMS que la instantánea. Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service.
Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de maneras ligeramente diferentes, dependiendo de si la instantánea a partir de la que se crea un volumen cifrado está cifrada o no.
Funcionamiento del cifrado de EBS cuando se cifra la instantánea
Cuando crea un volumen cifrado a partir de una instantánea cifrada de su propiedad, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:
-
Amazon EC2 envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, que especifica la clave de KMS que eligió para el cifrado del volumen.
-
Si el volumen se cifra con la misma clave de KMS que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y lo cifra con esa misma clave de KMS. Si el volumen se cifra con una clave de KMS diferente, AWS KMS genera una nueva clave de datos y lo cifra con la clave de KMS que se haya especificado. La clave de datos cifrada se envía a Amazon EBS para almacenarla con los metadatos del volumen.
-
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda descifrar la clave de datos.
-
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.
-
Amazon EC2 utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.
Funcionamiento del cifrado de EBS cuando la instantánea no está cifrada
Cuando crea un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:
-
Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda cifrar el volumen que se crea a partir de la instantánea.
-
Amazon EC2 envía una solicitud GenerateDataKeyWithoutPlaintext a AWS KMS, que especifica la clave de KMS que eligió para el cifrado del volumen.
-
AWS KMS genera una clave de datos nueva, la cifra bajo la clave de KMS que usted eligió para el cifrado del volumen y envía la clave de datos cifrada a Amazon EBS para que se almacene con los metadatos del volumen.
-
Amazon EC2 envía una solicitud Decrypt a AWS KMS para obtener la clave de cifrado para cifrar los datos del volumen.
-
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud CreateGrant a AWS KMS para que pueda descifrar la clave de datos.
-
Cuando adjunta el volumen cifrado a una instancia, Amazon EC2 envía una solicitud Decrypt a AWS KMS, en la que se especifica la clave de datos cifrada.
-
AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.
-
Amazon EC2 utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.
Para obtener más información, consulte Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS y Amazon EC2 ejemplo dos en la Guía para desarrolladores de AWS Key Management Service.
Requisitos
Antes de comenzar, compruebe que se cumplen los siguientes requisitos.
Tipos de volumen admitidos
El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.
Tipos de instancias admitidos
Cifrado de Amazon EBS está disponible en todos los tipos de instancia de la generación actual y en los siguientes tipos de instancia de la generación anterior: A1, C3, cr1.8xlarge, G2, I2, M3 y R3.
Permisos para los usuarios de IAM
Al configurar una Clave de KMS como clave predeterminada para el cifrado de EBS, la política de la Clave de KMS predeterminada permite a cualquier usuario de IAM con acceso a las acciones de KMS necesarias utilizar esta Clave de KMS para cifrar o descifrar recursos de EBS. Debe conceder a los usuarios de IAM permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlainText -
kms:ReEncrypt
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, permita al usuario crear concesiones en la clave de KMS solo cuando un servicio de AWS haya creado la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener más información, consulte Permite el acceso a la cuenta de AWS y habilita las políticas de IAM en la sección Política de clave predeterminada de la Guía para desarrolladores de AWS Key Management Service.
Clave de KMS predeterminada para el cifrado de EBS
Amazon EBS crea automáticamente una única Clave administrada por AWS en cada región en la que almacena recursos de AWS. Esta Clave de KMS tiene el alias alias/aws/ebs. De forma predeterminada, Amazon EBS utiliza esta Clave de KMS para el cifrado. También puede especificar una clave de cifrado administrada por el cliente simétrica que haya creado como la clave de KMS predeterminada para el cifrado de EBS. Usar su propia Clave de KMS le da más flexibilidad, incluida la capacidad de crear, rotar y desactivar Claves de KMS.
Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.
Cifrado de forma predeterminada
Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y copias de instantáneas que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrar recursos no cifrados.
El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.
Consideraciones
-
El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.
-
Cuando habilite el cifrado de manera predeterminada, puede lanzar una instancia solo si el tipo de instancia admite el cifrado de EBS. Para obtener más información, consulte Tipos de instancias admitidos.
-
Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.
-
Al migrar servidores utilizando AWS Server Migration Service (SMS), no active el cifrado de manera predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.
No puede cambiar la Clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.
Cifrar recursos de EBS
Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.
Cuando cifra un volumen, puede especificar la clave de cifrado de KMS simétrica que se utilizará para cifrar el volumen. Si no especifica una Clave de KMS, la Clave de KMS que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.
Si utiliza la API o la AWS CLI para especificar una clave de KMS, tenga en cuenta que AWS autentica la clave de KMS de forma asíncrona. Si especifica un ID de Clave de KMS, un alias o un ARN que no es válido, puede parecer que la acción se ha completado, pero eventualmente falla.
No puede cambiar la Clave de KMS que está asociada a una instantánea o volumen existente. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.
Cifrar un volumen vacío al crearlo
Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente con la Clave de KMS predeterminada para el cifrado de EBS. Como alternativa, puede especificar una clave de cifrado de KMS simétrica diferente para la operación de creación de volumen específica. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados consulte Creación de un volumen de Amazon EBS..
De forma predeterminada, la Clave de KMS que seleccionó al crear un volumen cifra las instantáneas que realice a partir del volumen y los volúmenes que se restauran a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.
Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Compartir una instantánea de Amazon EBS.
Cifrar recursos no cifrados
No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra volúmenes o instantáneas nuevos mediante la clave de KMS predeterminada para el cifrado de EBS. En caso contrario, puede habilitar el cifrado cuando cree un volumen o una instantánea individuales, mediante la clave de KMS predeterminada para el cifrado de Amazon EBS o una clave de cifrado administrada por el cliente simétrica. Para obtener más información, consulte Creación de un volumen de Amazon EBS. y Copiar una instantánea de Amazon EBS.
Para cifrar la copia instantánea en una Clave administrada por el cliente, debe habilitar el cifrado y especificar la Clave de KMS, como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).
Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.
También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que las AMI con respaldo EBS incluyen instantáneas de volúmenes de EBS que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con las AMI con respaldo de EBS.
Situaciones de cifrado
Cuando se crea un recurso de EBS cifrado, se cifra por la Clave de KMS predeterminada de su cuenta para el cifrado de EBS, a menos que especifique una Clave administrada por el cliente diferente en los parámetros de creación de volúmenes o en la asignación de dispositivos de bloque para la AMI o la instancia. Para obtener más información, consulte Clave de KMS predeterminada para el cifrado de EBS.
Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la tabla de resultados de cifrado.
Ejemplos
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
- Nuevo cifrado de un volumen cifrado
- Nuevo cifrado de una instantánea cifrada
- Migrar datos entre volúmenes cifrados y no cifrados
- Resultados del cifrado
Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. En el diagrama siguiente se ilustra el proceso.
Si omite el parámetro KmsKeyId, el volumen resultante se cifra con la Clave de KMS predeterminada para el cifrado de EBS. Debe especificar un ID de Clave de KMS para cifrar el volumen en una Clave de KMS diferente.
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio en los volúmenes restaurados a partir de instantáneas no cifradas y no se requieren parámetros de cifrado para que se utilice la Clave de KMS predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:
Si desea cifrar el volumen restaurado con una clave de cifrado administrada por el cliente simétrica, debe proporcionar los parámetros KmsKeyId y Encrypted tal y como se muestra en Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado).
Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. Si omite KmsKeyId, la instantánea resultante se cifra mediante la Clave de KMS predeterminada. Debe especificar un ID de clave de KMS para cifrar el volumen en una clave de cifrado de KMS simétrica diferente.
En el diagrama siguiente se ilustra el proceso.
Puede cifrar un volumen de EBS copiando una instantánea inesperada en una instantánea cifrada y luego creando un volumen a partir de la instantánea cifrada. Para obtener más información, consulte Copiar una instantánea de Amazon EBS.
Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio para las copias de instantáneas no cifradas y no se requieren parámetros de cifrado si se utiliza la Clave de KMS predeterminada. En el siguiente diagrama se ilustra caso predeterminado:
Nuevo cifrado de un volumen cifrado
Cuando la acción CreateVolume funciona en una instantánea cifrada, tiene la opción de volver a cifrarla con otra Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la creación del volumen, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se descifran automáticamente y, a continuación, se vuelven a cifrar mediante la Clave de KMS B.
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Nuevo cifrado de una instantánea cifrada
La capacidad de cifrar una instantánea durante la copia permite aplicar una nueva clave de cifrado de KMS simétrica a una instantánea ya cifrada de su propiedad. Solo se puede acceder a los volúmenes restaurados a partir de la copia resultante mediante la nueva Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la copia, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se vuelven a cifrar automáticamente mediante la Clave de KMS B.
En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De forma predeterminada, la copia se cifra con una Clave de KMS compartida por el propietario de la instantánea. Sin embargo, se recomienda crear una copia de la instantánea compartida mediante el uso de una Clave de KMS diferente que usted controla. Esto protege el acceso al volumen si la Clave de KMS original está comprometida o si el propietario revoca la Clave de KMS por cualquier motivo. Para obtener más información, consulte Cifrado y copia de la instantánea.
Migrar datos entre volúmenes cifrados y no cifrados
Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2 lleva a cabo las operaciones de cifrado y descifrado con transparencia.
Por ejemplo, use el comando rsync para copiar los datos. En el siguiente comando, los datos de origen se encuentran en /mnt/source y el volumen de destino está montado en /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Resultados del cifrado
En la siguiente tabla, se describe el resultado de cifrado para cada combinación posible de configuraciones.
| ¿El cifrado está habilitado? | ¿El cifrado predeterminado está habilitado? | Fuente del volumen | Predeterminado (no se especificó ninguna clave administrada por el cliente) | Personalizado (se especificó una clave administrada por el cliente) |
|---|---|---|---|---|
| No | No | Nuevo volumen (vacío) | Sin cifrar | N/A |
| No | No | Instantánea no cifrada que posea | Sin cifrar | |
| No | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | No | Instantánea no cifrada compartida con usted | Sin cifrar | |
| No | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada* | |
| Sí | No | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada** |
| Sí | No | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | No | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Nuevo volumen (vacío) | Cifrado con clave administrada por el cliente predeterminada | N/A |
| No | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada |
| Sí | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada |
* Esta es la clave administrada por el cliente predeterminada que se utiliza para el cifrado de EBS en la cuenta y la región de AWS. De forma predeterminada, esta es una Clave administrada por AWS única para EBS, o bien, puede especificar una clave administrada por el cliente. Para obtener más información, consulte Clave de KMS predeterminada para el cifrado de EBS .
** Esta es una clave administrada por el cliente especificada para el volumen en el momento del lanzamiento. Esta clave administrada por el cliente se utiliza en lugar de la clave administrada por el cliente predeterminada para la cuenta y la región de AWS.
Configurar los valores predeterminados de cifrado con la API y la CLI
Puede administrar el cifrado de forma predeterminada y la Clave de KMS predeterminada mediante las siguientes acciones de la API y comandos de la CLI.
| Acción de la API | Command de la CLI | Descripción |
|---|---|---|
| disable-ebs-encryption-by-default |
Deshabilita el cifrado de manera predeterminada. |
|
| enable-ebs-encryption-by-default |
Habilita el cifrado de manera predeterminada. |
|
| get-ebs-default-kms-key-id |
Describe la Clave de KMS predeterminada. |
|
| get-ebs-encryption-by-default |
Indica si se ha habilitado un cifrado de manera predeterminada. |
|
| modify-ebs-default-kms-key-id |
Cambia la Clave de KMS predeterminada utilizada para cifrar volúmenes de EBS. |
|
| reset-ebs-default-kms-key-id |
Restablece la Clave administrada por AWS como la clave predeterminada de KMS que se utiliza para cifrar los volúmenes de EBS. |
