Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de cifrado de Amazon EBS
Cuando se crea un recurso de EBS cifrado, se cifra por la Clave de KMS predeterminada de su cuenta para el cifrado de EBS, a menos que especifique una Clave administrada por el cliente diferente en los parámetros de creación de volúmenes o en la asignación de dispositivos de bloque para la AMI o la instancia. Para obtener más información, consulte Selección de una clave de KMS para el cifrado de EBS.
Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la tabla de resultados de cifrado.
Ejemplos
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
- Nuevo cifrado de un volumen cifrado
- Nuevo cifrado de una instantánea cifrada
- Migrar datos entre volúmenes cifrados y no cifrados
- Resultados del cifrado
Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. En el diagrama siguiente se ilustra el proceso.
Si omite el parámetro KmsKeyId, el volumen resultante se cifra con la Clave de KMS predeterminada para el cifrado de EBS. Debe especificar un ID de Clave de KMS para cifrar el volumen en una Clave de KMS diferente.
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio en los volúmenes restaurados a partir de instantáneas no cifradas y no se requieren parámetros de cifrado para que se utilice la Clave de KMS predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:
Si desea cifrar el volumen restaurado con una clave de cifrado administrada por el cliente simétrica, debe proporcionar los parámetros KmsKeyId y Encrypted tal y como se muestra en Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado).
Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. Si omite KmsKeyId, la instantánea resultante se cifra mediante la Clave de KMS predeterminada. Debe especificar un ID de clave de KMS para cifrar el volumen en una clave de cifrado de KMS simétrica diferente.
En el diagrama siguiente se ilustra el proceso.
Puede cifrar un volumen de EBS copiando una instantánea inesperada en una instantánea cifrada y luego creando un volumen a partir de la instantánea cifrada. Para obtener más información, consulte Copia de una instantánea de Amazon EBS.
Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
Cuando ha habilitado el cifrado de forma predeterminada, este es obligatorio para las copias de instantáneas no cifradas y no se requieren parámetros de cifrado si se utiliza la Clave de KMS predeterminada. En el siguiente diagrama se ilustra caso predeterminado:
Nuevo cifrado de un volumen cifrado
Cuando la acción CreateVolume funciona en una instantánea cifrada, tiene la opción de volver a cifrarla con otra Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la creación del volumen, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se descifran automáticamente y, a continuación, se vuelven a cifrar mediante la Clave de KMS B.
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Nuevo cifrado de una instantánea cifrada
La capacidad de cifrar una instantánea durante la copia permite aplicar una nueva clave de cifrado de KMS simétrica a una instantánea ya cifrada de su propiedad. Solo se puede acceder a los volúmenes restaurados a partir de la copia resultante mediante la nueva Clave de KMS. En el diagrama siguiente se ilustra el proceso. En este ejemplo, posee dos Claves de KMS: Clave de KMS A y Clave de KMS B. La instantánea de origen se cifra mediante la Clave de KMS A. Durante la copia, con el ID de Clave de KMS de la Clave de KMS B especificado como parámetro, los datos de origen se vuelven a cifrar automáticamente mediante la Clave de KMS B.
En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De forma predeterminada, la copia se cifra con una Clave de KMS compartida por el propietario de la instantánea. Sin embargo, se recomienda crear una copia de la instantánea compartida mediante el uso de una Clave de KMS diferente que usted controla. Esto protege el acceso al volumen si la Clave de KMS original está comprometida o si el propietario revoca la Clave de KMS por cualquier motivo. Para obtener más información, consulte Cifrado y copia de la instantánea.
Migrar datos entre volúmenes cifrados y no cifrados
Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2 lleva a cabo las operaciones de cifrado y descifrado con transparencia.
Por ejemplo, use el comando rsync para copiar los datos. En el siguiente comando, los datos de origen se encuentran en /mnt/source y el volumen de destino está montado en /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Por ejemplo, use el comando robocopy para copiar los datos. En el siguiente comando, los datos de origen se encuentran en D:\ y el volumen de destino está montado en E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Recomendamos utilizar carpetas en lugar de copiar todo el volumen, con esto se evitan posibles problemas con carpetas ocultas.
Resultados del cifrado
En la siguiente tabla, se describe el resultado de cifrado para cada combinación posible de configuraciones.
| ¿El cifrado está habilitado? | ¿El cifrado predeterminado está habilitado? | Fuente del volumen | Predeterminado (no se especificó ninguna clave administrada por el cliente) | Personalizado (se especificó una clave administrada por el cliente) |
|---|---|---|---|---|
| No | No | Nuevo volumen (vacío) | Sin cifrar | N/A |
| No | No | Instantánea no cifrada que posea | Sin cifrar | |
| No | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | No | Instantánea no cifrada compartida con usted | Sin cifrar | |
| No | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada* | |
| Sí | No | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada** |
| Sí | No | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | No | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Nuevo volumen (vacío) | Cifrado con clave administrada por el cliente predeterminada | N/A |
| No | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada |
| Sí | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada |
* Esta es la clave predeterminada administrada por el cliente que se utiliza para el cifrado de EBS de la AWS cuenta y la región. De forma predeterminada, es única Clave administrada de AWS para EBS, o puede especificar una clave gestionada por el cliente. Para obtener más información, consulte Selección de una clave de KMS para el cifrado de EBS.
** Esta es una clave administrada por el cliente especificada para el volumen en el momento del lanzamiento. Se utiliza esta clave gestionada por el cliente en lugar de la clave gestionada por el cliente predeterminada para la AWS cuenta y la región.
