Requisitos para el cifrado de Amazon EBS - Amazon EBS
Tipos de volumen admitidosTipos de instancias admitidasPermisos para los usuariosPermisos para instancias

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos para el cifrado de Amazon EBS

Antes de comenzar, compruebe que se cumplen los siguientes requisitos.

Tipos de volumen admitidos

El cifrado se admite en todos los tipos de volúmenes de EBS. Puede esperar el mismo rendimiento de IOPS en los volúmenes cifrados que en los no cifrados, con un efecto mínimo en la latencia. Puede obtener acceso a los volúmenes cifrados del mismo modo que tiene acceso a los no cifrados. El cifrado y el descifrado se administran de forma transparente y no requieren ninguna acción adicional por su parte ni por parte de las aplicaciones.

Tipos de instancias admitidas

El cifrado de Amazon EBS está disponible en todos los tipos de instancias de la generación actual y la generación anterior.

Permisos para los usuarios

Cuando utiliza una clave de KMS para el cifrado de EBS, la política de claves de KMS permite a cualquier usuario con acceso a las AWS KMS acciones necesarias utilizar esta clave de KMS para cifrar o descifrar los recursos de EBS. Debe conceder a los usuarios permiso para llamar a las siguientes acciones para utilizar el cifrado de EBS:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

sugerencia

Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, utilice la clave de kms:GrantIsForAWSResource condición para permitir al usuario crear concesiones en la clave de KMS solo cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Para obtener más información, consulte Permitir el acceso a la AWS cuenta y habilitar las políticas de IAM en la sección Política clave predeterminada de la Guía para AWS Key Management Service desarrolladores.

Permisos para instancias

Cuando una instancia intenta interactuar con una AMI, un volumen o una instantánea cifrados, se concede una clave de KMS al rol de solo identidad de la instancia. El rol de solo identidad es un rol de IAM que la instancia utiliza para interactuar con AMI, volúmenes o instantáneas cifrados en su nombre.

Los roles de solo identidad no necesitan crearse ni eliminarse de forma manual, y no tienen políticas asociadas. Además, no puede acceder a las credenciales del rol de solo identidad.

nota

Las aplicaciones de la instancia no utilizan los roles exclusivos de identidad para acceder a otros recursos AWS KMS cifrados, como los objetos de Amazon S3 o las tablas de Dynamo DB. Estas operaciones se realizan con las credenciales de un rol de instancia de Amazon EC2 u otras AWS credenciales que haya configurado en la instancia.

Los roles de solo identidad están sujetos a las políticas de control de servicio (SCP) y a las políticas de claves de KMS. Si una clave de SCP o KMS deniega al rol de solo identidad el acceso a una clave de KMS, es posible que no pueda lanzar instancias de EC2 con volúmenes cifrados ni utilizar AMI o instantáneas cifradas.

Si va a crear un SCP o una política de claves que deniegue el acceso en función de la ubicación de la red mediante las claves de condición aws:SourceIp aws:VpcSourceIpaws:SourceVpc,, o aws:SourceVpce AWS globales, debe asegurarse de que estas declaraciones de política no se apliquen a las funciones exclusivas de la instancia. Para ver ejemplos de políticas, consulte Ejemplos de políticas de perímetros de datos.

Los ARN de roles de solo identidad utilizan el siguiente formato:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Cuando se emite una concesión de clave para una instancia, la concesión de clave se emite para la sesión específica del rol asumido de esa instancia. El ARN de la entidad principal del beneficiario utiliza el siguiente formato:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id