¿Cómo Amazon Elastic Block Store (Amazon EBS) utiliza AWS KMS?
En este tema se habla en detalle de cómo Amazon Elastic Block Store (Amazon EBS) utiliza AWS KMS para cifrar volúmenes e instantáneas. Para obtener instrucciones básicas sobre el cifrado de volúmenes de Amazon EBS, consulte Cifrado de Amazon EBS.
Temas
Cifrado de Amazon EBS
Cuando se asocia un volumen de Amazon EBS cifrado a un tipo de instancia Amazon Elastic Compute Cloud (Amazon EC2 compatible, se cifran los datos almacenados que están en reposo en el volumen, la E/S de disco y las instantáneas creadas a partir del volumen. El cifrado se produce en los servidores que alojan instancias de Amazon EC2.
Esta característica es compatible con todos los tipos de volúmenes de Amazon EBS. A los volúmenes cifrados se obtiene acceso del mismo modo que a otros volúmenes; el cifrado y el descifrado se gestionan de forma transparente y no requieren ninguna acción de su parte, la instancia EC2 o su aplicación. Las instantáneas de los volúmenes cifrados se cifran automáticamente y los volúmenes que se crean a partir de las instantáneas cifradas también se cifran de forma automática.
El estado de cifrado de un volumen de EBS se determina al crear el volumen. No puede cambiar el estado de cifrado de un volumen existente. Sin embargo, puede migrar datos entre volúmenes cifrados y no cifrados, y aplicar un nuevo estado de cifrado al copiar una instantánea.
Amazon EBS admite el cifrado opcional de forma predeterminada. Puede habilitar el cifrado automáticamente en todos los nuevos volúmenes de EBS y copias de instantáneas en su Cuenta de AWSy Región. Este ajuste de configuración no afecta a los volúmenes o instantáneas existentes. Para obtener más información, consulte Cifrado predeterminado en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
Uso de claves KMS y claves de datos
Cuando crea un volumen Amazon EBS cifrado, se especifica un AWS KMS key. De manera predeterminada, Amazon EBS utiliza la Clave administrada de AWSpara Amazon EBS en su cuenta (aws/ebs). Sin embargo, puede especificar una clave administrada por el cliente que puede crear y administrar.
Para utilizar una clave administrada por el cliente, debe dar permiso a Amazon EBS para usar la clave KMS en su nombre. Para obtener una lista de los permisos necesarios, consulte Permisos para los usuarios de IAM en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
importante
Amazon EBS solo admite claves KMS simétricas. No se puede utilizar una clave KMS asimétrica para cifrar un volumen de Amazon EBS. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de diferentes tipos de claves.
Para cada volumen, Amazon EBS pide AWS KMS para generar una clave de datos única cifrada bajo la clave KMS que especifique. Amazon EBS almacena la clave de datos cifrada con el volumen. A continuación, al adjuntar el volumen a una instancia de Amazon EC2, Amazon EBS llama a AWS KMS para descifrar la clave de datos. Amazon EBS utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. Para obtener más información, consulte Cómo funciona el cifrado de EBS en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
Contexto de cifrado de Amazon EBS
En sus solicitudes GenerateDataKeyWithoutPlaintext y Decrypt a AWS KMS, Amazon EBS usa un contexto de cifrado con un par de nombre-valor que identifica el volumen o la instantánea en la solicitud. El nombre en el contexto de cifrado no varía.
Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.
Amazon EBS usa el ID de volumen como valor de contexto de cifrado para todos los volúmenes y para las instantáneas cifradas creadas con la operación CreateSnapshot de Amazon EBS. En el campo requestParameters de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:
"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }
Amazon EBS usa el ID de la instantánea como valor de contexto de cifrado para las instantáneas cifradas creadas con la operación CopySnapshot de Amazon EC2. En el campo requestParameters de una entrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente:
"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }
Detección de errores de Amazon EBS
Para crear un volumen de EBS cifrado o adjuntar el volumen a una instancia EC2, Amazon EBS y la infraestructura de Amazon EC2 deben poder usar la clave KMS especificada para el cifrado del volumen de EBS. Cuando la clave KMS no es utilizable, por ejemplo, cuando su estado clave no es Enabled: la creación del volumen o el adjunto al volumen fallan.
En este caso, Amazon EBS envía un evento a Amazon EventBridge (anteriormente Eventos de CloudWatch) para notificarle el error. Con EventBridge, puede establecer reglas que activen acciones automáticas en respuesta a estos eventos. Para obtener más información, consulte Eventos de Amazon CloudWatch para Amazon EBS en la Guía del usuario de Amazon EC2, especialmente las siguientes secciones:
Para solucionar estos errores, compruebe que esté habilitada la clave KMS que ha especificado para el cifrado del volumen de EBS. Para ello, primero consulte la clave KMS para determinar su estado de clave actual (la columna Status (Estado) de la AWS Management Console). A continuación, consulte la información de uno estos enlaces:
-
Si el estado de clave de la clave KMS está deshabilitado, habilítelo.
-
Si el estado de clave de la clave KMS está pendiente de importación, importe el material de claves.
-
Si el estado de clave de la clave KMS es pendiente de eliminación, cancele la eliminación de la clave.
Uso de AWS CloudFormation para crear volúmenes de Amazon EBS cifrados
Puede usar AWS CloudFormation
