Cómo usa Amazon Elastic Block Store (AmazonEBS) AWS KMS

En este tema se analiza en detalle cómo Amazon Elastic Block Store (AmazonEBS) cifra volúmenes e instantáneas. AWS KMS Para obtener instrucciones básicas sobre el cifrado de EBS volúmenes de Amazon, consulte Amazon EBS Encryption.

EBSCifrado de Amazon

Al adjuntar un EBS volumen de Amazon cifrado a un tipo de instancia de Amazon Elastic Compute Cloud (AmazonEC2) compatible, los datos almacenados en reposo en el volumen, las E/S del disco y las instantáneas creadas a partir del volumen se cifran. El cifrado se produce en los servidores que alojan EC2 las instancias de Amazon.

Esta función es compatible con todos los tipos de EBS volumen de Amazon. Puede acceder a los volúmenes cifrados de la misma manera que accede a otros volúmenes; el cifrado y el descifrado se gestionan de forma transparente y no requieren ninguna acción adicional por parte suya, de la EC2 instancia o de la aplicación. Las instantáneas de los volúmenes cifrados se cifran automáticamente y los volúmenes que se crean a partir de las instantáneas cifradas también se cifran de forma automática.

El estado de cifrado de un EBS volumen se determina al crear el volumen. No puede cambiar el estado de cifrado de un volumen existente. Sin embargo, puede migrar datos entre volúmenes cifrados y no cifrados, y aplicar un nuevo estado de cifrado al copiar una instantánea.

Amazon EBS admite el cifrado opcional de forma predeterminada. Puedes activar el cifrado automáticamente en todos los EBS volúmenes y copias instantáneas nuevos de tu región Cuenta de AWS y de tu región. Este ajuste de configuración no afecta a los volúmenes o instantáneas existentes. Para obtener más información, consulta el EBScifrado de Amazon en la Guía del EBS usuario de Amazon.

Uso de KMS claves y claves de datos

Cuando creas un EBS volumen de Amazon cifrado, especificas un AWS KMS key. De forma predeterminada, Amazon EBS usa el Clave administrada de AWSpara Amazon EBS en tu cuenta (aws/ebs). Sin embargo, puede especificar una clave administrada por el cliente que puede crear y administrar.

Para usar una clave gestionada por el cliente, debes dar EBS permiso a Amazon para que utilice la KMS clave en tu nombre. Para ver una lista de los permisos necesarios, consulta Permisos para IAM usuarios en la Guía del EC2usuario de Amazon o en la Guía EC2 del usuario de Amazon.

importante

Amazon solo EBS admite KMSclaves simétricas. No puedes usar una KMSclave asimétrica para cifrar un volumen de AmazonEBS. Para obtener ayuda para determinar si una KMS clave es simétrica o asimétrica, consulte. Identificación de diferentes tipos de claves

Para cada volumen, Amazon EBS solicita AWS KMS generar una clave de datos única cifrada con la KMS clave que especifiques. Amazon EBS almacena la clave de datos cifrados junto con el volumen. A continuación, cuando adjuntas el volumen a una EC2 instancia de Amazon, Amazon EBS llama AWS KMS para descifrar la clave de datos. Amazon EBS utiliza la clave de datos de texto simple de la memoria del hipervisor para cifrar todas las E/S del disco en el volumen. Para obtener más información, consulta Cómo funciona el EBS cifrado en la Guía del EC2usuario de Amazon o en la Guía EC2 del usuario de Amazon.

Contexto EBS de cifrado de Amazon

En sus solicitudes GenerateDataKeyWithoutPlaintexty en las de Decrypt AWS KMS, Amazon EBS utiliza un contexto de cifrado con un par nombre-valor que identifica el volumen o la instantánea de la solicitud. El nombre en el contexto de cifrado no varía.

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando incluyes un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Para todos los volúmenes y para las instantáneas cifradas creadas con la EBS CreateSnapshotoperación de Amazon, Amazon EBS utiliza el ID del volumen como valor de contexto de cifrado. En el requestParameters campo de una entrada de CloudTrail registro, el contexto de cifrado es similar al siguiente:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

En el caso de las instantáneas cifradas creadas con la EC2 CopySnapshotoperación de Amazon, Amazon EBS utiliza el ID de la instantánea como valor de contexto de cifrado. En el requestParameters campo de una entrada de CloudTrail registro, el contexto de cifrado es similar al siguiente:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Detección de EBS errores de Amazon

Para crear un EBS volumen cifrado o adjuntar el volumen a una EC2 instancia, Amazon EBS y la EC2 infraestructura de Amazon deben poder usar la KMS clave que especificó para el cifrado EBS del volumen. Cuando la KMS clave no se puede utilizar (por ejemplo, cuando su estado de clave no lo es), se produce un error al crear o adjuntar Enabled el volumen.

En este caso, Amazon EBS envía un evento a Amazon EventBridge (anteriormente CloudWatch Events) para notificarte el error. En EventBridge, puede establecer reglas que activen acciones automáticas en respuesta a estos eventos. Para obtener más información, consulta Amazon CloudWatch Events for Amazon EBS en la Guía del EC2 usuario de Amazon, especialmente en las siguientes secciones:

• Clave de cifrado no válida al asociar o volver a asociar un volumen

• Clave de cifrado no válida al crear el volumen

Para corregir estos errores, asegúrese de que la KMS clave que especificó para el cifrado por EBS volumen esté habilitada. Para ello, consulte primero la KMS clave para determinar su estado de clave actual (la columna Estado de AWS Management Console). A continuación, consulte la información de uno estos enlaces:

• Si el estado KMS clave de la clave está deshabilitado, habilítelo.

• Si el estado KMS clave de la clave está pendiente de importación, importe el material clave.

• Si el estado KMS clave de la clave está pendiente de eliminación, cancele la eliminación de la clave.

Uso AWS CloudFormation para crear EBS volúmenes de Amazon cifrados

Se puede utilizar AWS CloudFormationpara crear EBS volúmenes de Amazon cifrados. Para obtener más información, consulte AWS:EC2: :Volume en la Guía del AWS CloudFormation usuario.