Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de EBS cifrado de Amazon
Cuando creas un EBS recurso cifrado, se cifra con la clave de EBS cifrado predeterminada de tu cuenta, a menos que especifiques una KMS clave diferente gestionada por el cliente en los parámetros de creación del volumen o en la asignación de dispositivos de bloques para la instancia AMI o. Para obtener más información, consulte Seleccione una KMS clave para el EBS cifrado.
Los siguientes ejemplos ilustran cómo puede administrar el estado de cifrado de sus volúmenes e instantáneas. Para obtener una lista completa de casos de cifrado, consulte la tabla de resultados de cifrado.
Ejemplos
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
- Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
- Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
- Nuevo cifrado de un volumen cifrado
- Nuevo cifrado de una instantánea cifrada
- Migrar datos entre volúmenes cifrados y no cifrados
- Resultados del cifrado
Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, un volumen restaurado de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar el volumen resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. En el diagrama siguiente se ilustra el proceso.
Si omite el KmsKeyId parámetro, el volumen resultante se cifra con la KMS clave de EBS cifrado predeterminada. Debe especificar un identificador de KMS clave para cifrar el volumen en una KMS clave diferente.
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Restauración de un volumen sin cifrar (cifrado de forma predeterminada habilitado)
Si ha activado el cifrado de forma predeterminada, el cifrado es obligatorio para los volúmenes restaurados a partir de instantáneas no cifradas y no se requieren parámetros de cifrado para utilizar la KMS clave predeterminada. En el siguiente diagrama se muestra este caso predeterminado simple:
Si desea cifrar el volumen restaurado con una clave de cifrado administrada por el cliente simétrica, debe proporcionar los parámetros KmsKeyId y Encrypted tal y como se muestra en Restauración de un volumen sin cifrar (cifrado de forma predeterminada no habilitado).
Copia de una instantánea sin cifrar (cifrado de forma predeterminada no habilitado)
Sin el cifrado de manera predeterminada habilitado, una copia de una instantánea sin cifrar no se cifra de manera predeterminada. Sin embargo, puede cifrar la instantánea resultante al configurar el parámetro Encrypted y, de manera opcional, el parámetro KmsKeyId. Si lo omiteKmsKeyId, la instantánea resultante se cifra con su clave predeterminadaKMS. Debe especificar un identificador de KMS clave para cifrar el volumen en una clave de cifrado simétrica diferente. KMS
En el diagrama siguiente se ilustra el proceso.
Para cifrar un EBS volumen, copie una instantánea no cifrada en una instantánea cifrada y, a continuación, cree un volumen a partir de la instantánea cifrada. Para obtener más información, consulte Copiar una EBS instantánea de Amazon.
Copia de una instantánea sin cifrar (cifrado de forma predeterminada habilitado)
Si ha activado el cifrado de forma predeterminada, el cifrado es obligatorio para las copias de instantáneas no cifradas y no se requieren parámetros de cifrado si se utiliza la clave predeterminadaKMS. En el siguiente diagrama se ilustra caso predeterminado:
Nuevo cifrado de un volumen cifrado
Cuando la CreateVolume acción se ejecuta en una instantánea cifrada, tiene la opción de volver a cifrarla con una clave diferente. KMS En el diagrama siguiente se ilustra el proceso. En este ejemplo, tiene dos KMS claves, la KMS clave A y la KMS clave B. La instantánea de origen se cifra con la KMS clave A. Durante la creación del volumen, con el identificador de clave de la KMS KMS clave B especificado como parámetro, los datos de origen se descifran automáticamente y, a continuación, se vuelven a cifrar con la clave B. KMS
Para obtener más información, consulte Creación de un volumen desde una instantánea.
Nuevo cifrado de una instantánea cifrada
La capacidad de cifrar una instantánea durante la copia le permite aplicar una nueva KMS clave de cifrado simétrica a una instantánea ya cifrada de su propiedad. Solo se puede acceder a los volúmenes restaurados a partir de la copia resultante con la nueva clave. KMS En el diagrama siguiente se ilustra el proceso. En este ejemplo, tiene dos KMS claves, la KMS clave A y la KMS clave B. La instantánea de origen se cifra con la KMS clave A. Durante la copia, con el identificador de KMS clave de la KMS clave B especificado como parámetro, los datos de origen se vuelven a cifrar automáticamente con la KMS clave B.
En un escenario relacionado, puede optar por aplicar parámetros de cifrado nuevos a la copia de una instantánea que hayan compartido con usted. De forma predeterminada, la copia se cifra con una KMS clave que comparte el propietario de la instantánea. Sin embargo, le recomendamos que cree una copia de la instantánea compartida con una KMS clave diferente que controle. Esto protege su acceso al volumen en caso de que la KMS clave original se vea comprometida o si el propietario la KMS revoca por cualquier motivo. Para obtener más información, consulte Cifrado y copia de la instantánea.
Migrar datos entre volúmenes cifrados y no cifrados
Si tiene acceso a un volumen cifrado y a un volumen no cifrado, puede trasferir datos entre ambos libremente. EC2lleva a cabo las operaciones de cifrado y descifrado de forma transparente.
Por ejemplo, use el comando rsync para copiar los datos. En el siguiente comando, los datos de origen se encuentran en /mnt/source y el volumen de destino está montado en /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Por ejemplo, use el comando robocopy para copiar los datos. En el siguiente comando, los datos de origen se encuentran en D:\ y el volumen de destino está montado en E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Recomendamos utilizar carpetas en lugar de copiar todo el volumen, con esto se evitan posibles problemas con carpetas ocultas.
Resultados del cifrado
En la siguiente tabla, se describe el resultado de cifrado para cada combinación posible de configuraciones.
| ¿El cifrado está habilitado? | ¿El cifrado predeterminado está habilitado? | Fuente del volumen | Predeterminado (no se especificó ninguna clave administrada por el cliente) | Personalizado (se especificó una clave administrada por el cliente) |
|---|---|---|---|---|
| No | No | Nuevo volumen (vacío) | Sin cifrar | N/A |
| No | No | Instantánea no cifrada que posea | Sin cifrar | |
| No | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | No | Instantánea no cifrada compartida con usted | Sin cifrar | |
| No | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada* | |
| Sí | No | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada** |
| Sí | No | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | No | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | No | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Nuevo volumen (vacío) | Cifrado con clave administrada por el cliente predeterminada | N/A |
| No | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| No | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| No | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Nuevo volumen | Cifrado con clave administrada por el cliente predeterminada | Cifrado con una clave administrada por el cliente especificada |
| Sí | Sí | Instantánea no cifrada que posea | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada que posea | Cifrada con la misma clave | |
| Sí | Sí | Instantánea no cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada | |
| Sí | Sí | Instantánea cifrada compartida con usted | Cifrado con clave administrada por el cliente predeterminada |
* Esta es la clave predeterminada administrada por el cliente que se utiliza para el EBS cifrado de la AWS cuenta y la región. De forma predeterminadaEBS, se trata de una clave exclusiva Clave administrada de AWS para el cliente o puede especificarla. Para obtener más información, consulte Seleccione una KMS clave para el EBS cifrado.
** Esta es una clave administrada por el cliente especificada para el volumen en el momento del lanzamiento. Se utiliza esta clave gestionada por el cliente en lugar de la clave gestionada por el cliente predeterminada para la AWS cuenta y la región.
