Trabajo con el cifrado de Amazon EBS

Use los siguientes procedimientos para trabajar con el cifrado de Amazon EBS.

Selección de una clave de KMS para el cifrado de EBS

Amazon EBS crea automáticamente un recurso único Clave administrada de AWS en cada región en la que almacene AWS los recursos. Esta Clave de KMS tiene el alias alias/aws/ebs. De forma predeterminada, Amazon EBS utiliza esta Clave de KMS para el cifrado. También puede especificar una clave de cifrado administrada por el cliente simétrica que haya creado como la clave de KMS predeterminada para el cifrado de EBS. Usar su propia Clave de KMS le da más flexibilidad, incluida la capacidad de crear, rotar y desactivar Claves de KMS.

importante

Amazon EBS no es compatible con las claves de cifrado de KMS asimétricas. Para obtener más información, consulte Uso de claves de cifrado de KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service .

Amazon EC2 console

A fin de configurar la Clave de KMS predeterminada para el cifrado de EBS en una región

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En la barra de navegación, seleccione la región.

3. En el panel de navegación, seleccione EC2 Dashboard (Panel de EC2).

4. En la esquina superior derecha de la página, elija Account attributes (Atributos de cuenta), Data protection and security (Protección de datos y seguridad).

5. Elija Administrar.

6. En Default encryption key) (Clave de cifrado predeterminada), elija una clave de cifrado administrada por el cliente simétrica.

7. Elija Update EBS encryption (Actualizar el cifrado de EBS).

Habilitación del cifrado de manera predeterminada

Puede configurar su AWS cuenta para aplicar el cifrado de los nuevos volúmenes y copias instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrar recursos no cifrados.

El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.

Consideraciones

• El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.

• El cifrado de Amazon EBS es admitido por defecto en todos los tipos de instancias de la generación actual y la generación anterior.

• Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.

• Al migrar servidores mediante AWS Server Migration Service (SMS), no active el cifrado de forma predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.

Amazon EC2 console

Para habilitar el cifrado de manera predeterminada en una región

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En la barra de navegación, seleccione la región.

3. En el panel de navegación, seleccione EC2 Dashboard (Panel de EC2).

4. En la esquina superior derecha de la página, elija Account attributes (Atributos de cuenta), Data protection and security (Protección de datos y seguridad).

5. Seleccione Manage (Administrar).

6. Seleccione Enable (Habilitar). La conservas Clave administrada de AWS con el alias alias/aws/ebs creado en tu nombre como clave de cifrado predeterminada o eliges una clave de cifrado simétrica gestionada por el cliente.

7. Elija Update EBS encryption (Actualizar el cifrado de EBS).

AWS CLI

Para ver la configuración predeterminada de cifrado

• Para una región específica

  $ aws ec2 get-ebs-encryption-by-default --region region

• Para todas las regiones de su cuenta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Para habilitar el cifrado de manera predeterminada

• Para una región específica

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Para todas las regiones de su cuenta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Para deshabilitar el cifrado de manera predeterminada

• Para una región específica

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Para todas las regiones de su cuenta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

PowerShell

Para ver la configuración predeterminada de cifrado

• Para una región específica

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Para todas las regiones de su cuenta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Para habilitar el cifrado de manera predeterminada

• Para una región específica

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Para todas las regiones de su cuenta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Para deshabilitar el cifrado de manera predeterminada

• Para una región específica

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Para todas las regiones de su cuenta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

No puede cambiar la Clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.

Configuración del cifrado de forma predeterminada con la API y la CLI

Puede administrar el cifrado de forma predeterminada y la Clave de KMS predeterminada mediante las siguientes acciones de la API y comandos de la CLI.

Acción de la API	Command de la CLI	Descripción
DisableEbsEncryptionByDefault	disable-ebs-encryption-by-predeterminado	Deshabilita el cifrado de manera predeterminada.
EnableEbsEncryptionByDefault	enable-ebs-encryption-by-predeterminado	Habilita el cifrado de manera predeterminada.
GetEbsDefaultKmsKeyId	get-ebs-default-kms-key-id	Describe la Clave de KMS predeterminada.
GetEbsEncryptionByDefault	get-ebs-encryption-by-predeterminado	Indica si se ha habilitado un cifrado de manera predeterminada.
ModifyEbsDefaultKmsKeyId	modify-ebs-default-kms-key-id	Cambia la Clave de KMS predeterminada utilizada para cifrar volúmenes de EBS.
ResetEbsDefaultKmsKeyId	reset-ebs-default-kms-key-id	Restablece la Clave administrada de AWS clave KMS predeterminada utilizada para cifrar los volúmenes de EBS.