Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Trabajo con el cifrado de Amazon EBS
Use los siguientes procedimientos para trabajar con el cifrado de Amazon EBS.
Tareas
Selección de una clave de KMS para el cifrado de EBS
Amazon EBS crea automáticamente un recurso único Clave administrada de AWS en cada región en la que almacene AWS los recursos. Esta Clave de KMS tiene el alias alias/aws/ebs
. De forma predeterminada, Amazon EBS utiliza esta Clave de KMS para el cifrado. También puede especificar una clave de cifrado administrada por el cliente simétrica que haya creado como la clave de KMS predeterminada para el cifrado de EBS. Usar su propia Clave de KMS le da más flexibilidad, incluida la capacidad de crear, rotar y desactivar Claves de KMS.
importante
Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service .
Habilitación del cifrado de manera predeterminada
Puede configurar su AWS cuenta para aplicar el cifrado de los nuevos volúmenes y copias instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrar recursos no cifrados.
El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.
Consideraciones
-
El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.
-
El cifrado de Amazon EBS es admitido por defecto en todos los tipos de instancias de la generación actual y la generación anterior.
-
Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.
-
Al migrar servidores mediante AWS Server Migration Service (SMS), no active el cifrado de forma predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.
No puede cambiar la Clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.
Configuración del cifrado de forma predeterminada con la API y la CLI
Puede administrar el cifrado de forma predeterminada y la Clave de KMS predeterminada mediante las siguientes acciones de la API y comandos de la CLI.
Acción de la API | Command de la CLI | Descripción |
---|---|---|
disable-ebs-encryption-by-predeterminado |
Deshabilita el cifrado de manera predeterminada. |
|
enable-ebs-encryption-by-predeterminado |
Habilita el cifrado de manera predeterminada. |
|
get-ebs-default-kms-key-id |
Describe la Clave de KMS predeterminada. |
|
get-ebs-encryption-by-predeterminado |
Indica si se ha habilitado un cifrado de manera predeterminada. |
|
modify-ebs-default-kms-key-id |
Cambia la Clave de KMS predeterminada utilizada para cifrar volúmenes de EBS. |
|
reset-ebs-default-kms-key-id |
Restablece la Clave administrada de AWS clave KMS predeterminada utilizada para cifrar los volúmenes de EBS. |