Cifrado de Amazon EBS - Amazon EBS
Cómo funciona el cifrado de EBSCifrar recursos de EBSClaves giratorias AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de Amazon EBS

Utilice Cifrado de Amazon EBS como una solución de cifrado directa para sus recursos de EBS asociados con sus instancias EC2. Con el cifrado de Amazon EBS, no tendrá que crear, mantener ni proteger su propia infraestructura de administración de claves. El cifrado de Amazon EBS utiliza AWS KMS keys cuando crea volúmenes e instantáneas cifrados.

Las operaciones de cifrado se llevan a cabo en los servidores que alojan las instancias de EC2, lo que garantiza la seguridad tanto data-at-rest de una instancia como data-in-transit entre ella y su almacenamiento EBS adjunto.

Puede asociar volúmenes cifrados y no cifrados con una instancia simultáneamente.

Contenido

Cómo funciona el cifrado de EBS

Puede cifrar los volúmenes de datos y de arranque de una instancia EC2.

Cuando se crea un volumen de EBS y se adjunta a un tipo de instancia compatible, se cifran los tipos de datos siguientes:

  • Datos en reposo dentro del volumen

  • Todos los datos que se mueven entre el volumen y la instancia

  • Todas las instantáneas creadas a partir del volumen

  • Todos los volúmenes creados a partir de esas instantáneas

Amazon EBS cifra el volumen con una clave de datos que utiliza el cifrado de datos estándar de la industria AES-256. La clave de datos se genera AWS KMS y, a continuación, se cifra AWS KMS con su AWS KMS clave antes de almacenarla con la información de volumen. Todas las instantáneas y cualquier volumen posterior creado a partir de esas instantáneas con la misma AWS KMS clave comparten la misma clave de datos. Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service .

Amazon EC2 funciona AWS KMS para cifrar y descifrar los volúmenes de EBS de formas ligeramente diferentes en función de si la instantánea a partir de la cual se crea un volumen cifrado está cifrada o no cifrada.

Funcionamiento del cifrado de EBS cuando se cifra la instantánea

Cuando crea un volumen cifrado a partir de una instantánea cifrada de su propiedad, Amazon EC2 lo utiliza AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

  1. Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS la que especifica la clave de KMS que ha elegido para el cifrado de volúmenes.

  2. Si el volumen se cifra con la misma clave de KMS que la instantánea, AWS KMS utiliza la misma clave de datos que la instantánea y la cifra con esa misma clave de KMS. Si el volumen se cifra con una clave de KMS diferente, AWS KMS genera una nueva clave de datos y la cifra con la clave de KMS que especificó. La clave de datos cifrada se envía a Amazon EBS para almacenarla con los metadatos del volumen.

  3. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud para que AWS KMS pueda descifrar la clave de datos.

  4. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.

  5. Amazon EC2 utiliza la clave de datos de texto no cifrado en el hardware de Nitro para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Funcionamiento del cifrado de EBS cuando la instantánea no está cifrada

Cuando crea un volumen cifrado a partir de una instantánea no cifrada, Amazon EC2 trabaja con AWS KMS para cifrar y descifrar los volúmenes de EBS de la siguiente manera:

  1. Amazon EC2 envía una CreateGrantsolicitud a AWS KMS, para que pueda cifrar el volumen que se crea a partir de la instantánea.

  2. Amazon EC2 envía una GenerateDataKeyWithoutPlaintextsolicitud a AWS KMS la que especifica la clave de KMS que ha elegido para el cifrado de volúmenes.

  3. AWS KMS genera una nueva clave de datos, la cifra con la clave de KMS que haya elegido para el cifrado de volumen y envía la clave de datos cifrada a Amazon EBS para que la almacene con los metadatos del volumen.

  4. Amazon EC2 envía una solicitud de descifrado AWS KMS a para descifrar la clave de datos cifrados, que luego utiliza para cifrar los datos del volumen.

  5. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una CreateGrantsolicitud a AWS KMS, para que pueda descifrar la clave de datos.

  6. Al adjuntar el volumen cifrado a una instancia, Amazon EC2 envía una solicitud de descifrado a AWS KMS la que especifica la clave de datos cifrados.

  7. AWS KMS descifra la clave de datos cifrada y envía la clave de datos descifrada a Amazon EC2.

  8. Amazon EC2 utiliza la clave de datos de texto no cifrado en el hardware de Nitro para cifrar las operaciones de E/S de disco en el volumen. La clave de datos de texto no cifrado persiste en la memoria siempre que el volumen esté asociado a la instancia EC2.

Para obtener más información, consulte Cómo Amazon Elastic Block Store (Amazon EBS) usa AWS KMS y Amazon EC2 ejemplo dos en la Guía para desarrolladores de AWS Key Management Service .

Cómo afectan las claves de KMS obsoletas a las claves de datos

Cuando una clave de KMS queda obsoleta, el efecto es casi inmediato (sujeto a la posible coherencia). El estado de clave de la clave de KMS cambia para reflejar su nueva condición y todas las solicitudes para utilizar la clave de KMS en operaciones criptográficas fallan.

Cuando se realiza una acción que inutiliza la clave de KMS, no se produce ningún efecto inmediato en la instancia de EC2 ni en los volúmenes de EBS asociados. Amazon EC2 usa la clave de datos, no la clave de KMS, para cifrar todas las E/S de disco mientras el volumen esté asociado a la instancia.

Sin embargo, cuando el volumen de EBS cifrado se separa de la instancia de EC2, Amazon EBS elimina la clave de datos del hardware de Nitro. La próxima vez que el volumen EBS cifrado se asocia a una instancia EC2, el accesorio devuelve un error, dado que Amazon EBS no puede utilizar la clave KMS para descifrar la clave de datos cifrada del volumen. Para volver a usar el volumen de EBS, debe hacer que la clave de KMS se pueda utilizar de nuevo.

sugerencia

Si ya no desea acceder a los datos almacenados en un volumen de EBS cifrado con una clave de datos generada a partir de una clave de KMS que pretende inutilizar, le recomendamos que separe el volumen de EBS de la instancia de EC2 antes de inutilizar la clave de KMS.

Para obtener más información, consulte Cómo afectan las claves de KMS inutilizables a las claves de datos en la Guía para desarrolladores de AWS Key Management Service .

Cifrar recursos de EBS

Puede cifrar los volúmenes de EBS habilitando el cifrado, ya sea mediante el cifrado de forma predeterminada o habilitando el cifrado al crear un volumen que desea cifrar.

Cuando cifra un volumen, puede especificar la clave de cifrado de KMS simétrica que se utilizará para cifrar el volumen. Si no especifica una Clave de KMS, la Clave de KMS que se utiliza para el cifrado depende del estado de cifrado de la instantánea de origen y de su propiedad. Para obtener más información, consulte la tabla de resultados de cifrado.

nota

Si utiliza la API o AWS CLI para especificar una clave de KMS, tenga en cuenta que AWS autentica la clave de KMS de forma asíncrona. Si especifica un ID de Clave de KMS, un alias o un ARN que no es válido, puede parecer que la acción se ha completado, pero eventualmente falla.

No puede cambiar la Clave de KMS que está asociada a una instantánea o volumen existente. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

Cifrar un volumen vacío al crearlo

Al crear un nuevo volumen de EBS vacío, puede cifrarlo habilitando el cifrado para la operación de creación de volúmenes específica. Si ha habilitado el cifrado de EBS de forma predeterminada, el volumen se cifra automáticamente con la Clave de KMS predeterminada para el cifrado de EBS. Como alternativa, puede especificar una clave de cifrado de KMS simétrica diferente para la operación de creación de volumen específica. El volumen se cifra desde el primer momento en el que está disponible, de manera que sus datos siempre están protegidos. Para obtener procedimientos detallados, consulte Creación de un volumen de Amazon EBS..

De forma predeterminada, la Clave de KMS que seleccionó al crear un volumen cifra las instantáneas que realice a partir del volumen y los volúmenes que se restauran a partir de esas instantáneas cifradas. No puede eliminar el cifrado de un volumen o instantánea cifrada, lo que significa que un volumen restaurado de una instantánea cifrada o una copia de una instantánea cifrada siempre se cifra.

Aunque no se admiten las instantáneas públicas de los volúmenes cifrados, puede compartir una instantánea cifrada con determinadas cuentas. Para obtener indicaciones detalladas, consulte Compartir una instantánea de Amazon EBS.

Cifrar recursos no cifrados

No puede cifrar de forma directa los volúmenes o las instantáneas sin cifrar ya existentes. Sin embargo, puede crear volúmenes o instantáneas cifradas a partir de volúmenes o instantáneas sin cifrar. Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra volúmenes o instantáneas nuevos mediante la clave de KMS predeterminada para el cifrado de EBS. En caso contrario, puede habilitar el cifrado cuando cree un volumen o una instantánea individuales, mediante la clave de KMS predeterminada para el cifrado de Amazon EBS o una clave de cifrado administrada por el cliente simétrica. Para obtener más información, consulte Creación de un volumen de Amazon EBS. y Copia de una instantánea de Amazon EBS.

Para cifrar la copia instantánea en una Clave administrada por el cliente, debe habilitar el cifrado y especificar la Clave de KMS, como se muestra en Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado).

importante

Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service .

También puede aplicar nuevos estados de cifrado cuando lanza una instancia desde una AMI con respaldo EBS. Esto se debe a que las AMI con respaldo EBS incluyen instantáneas de volúmenes de EBS que se pueden cifrar tal y como se describe. Para obtener más información, consulte Usar el cifrado con las AMI basadas en EBS.

Claves giratorias AWS KMS

Las prácticas criptográficas recomendadas desaconsejan la reutilización generalizada de claves de cifrado.

Para crear nuevo material criptográfico para usarlo con el cifrado de Amazon EBS, puede crear una nueva clave administrada por el cliente y, a continuación, cambiar las aplicaciones para que usen esa nueva clave de KMS. También puede habilitar la rotación automática de claves para una clave administrada por el cliente existente.

Cuando habilita la rotación automática de claves para una clave administrada por el cliente, AWS KMS genera nuevo material criptográfico para la clave KMS cada año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda seguir descifrando y utilizando volúmenes e instantáneas previamente cifrados con ese material de clave de KMS. AWS KMS no elimina ningún material de clave girada hasta que elimine la clave KMS.

Cuando utiliza una clave girada gestionada por el cliente para cifrar un volumen o una instantánea nuevos, AWS KMS utiliza el material de clave actual (nuevo). Cuando utiliza una clave girada gestionada por el cliente para descifrar un volumen o una instantánea, AWS KMS utiliza la versión del material criptográfico que se utilizó para cifrarlo. Si un volumen o una instantánea están cifrados con una versión anterior del material criptográfico, seguirán utilizando esa versión AWS KMS anterior para descifrarlos. AWS KMS no vuelve a cifrar los volúmenes o instantáneas previamente cifrados para utilizar el nuevo material criptográfico tras una rotación de claves. Permanecen cifrados con el material criptográfico con el que se cifraron originalmente. Puede utilizar de forma segura una clave girada gestionada por el cliente en aplicaciones y AWS servicios sin necesidad de cambiar el código.

nota

  • La rotación automática de claves solo se admite para claves simétricas administradas por el cliente con material clave que se AWS KMS crea.

  • AWS KMS rota automáticamente Claves administradas por AWS cada año. No puede habilitar ni desactivar la rotación de claves de Claves administradas por AWS.

Para obtener más información, consulte Rotación de clave de KMS en la Guía para desarrolladores de AWS Key Management Service .