Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo utiliza Amazon Elastic Block Store (Amazon EBS) AWS KMS
En este tema se analiza en detalle cómo se AWS KMS utiliza Amazon Elastic Block Store (Amazon EBS) para cifrar volúmenes e instantáneas. Para obtener instrucciones básicas sobre el cifrado de volúmenes de Amazon EBS, consulte Cifrado de Amazon EBS.
Temas
Cifrado de Amazon EBS
Cuando se asocia un volumen de Amazon EBS cifrado a un tipo de instancia Amazon Elastic Compute Cloud (Amazon EC2 compatible, se cifran los datos almacenados que están en reposo en el volumen, la E/S de disco y las instantáneas creadas a partir del volumen. El cifrado se produce en los servidores que alojan instancias de Amazon EC2.
Esta característica es compatible con todos los tipos de volúmenes de Amazon EBS. A los volúmenes cifrados se obtiene acceso del mismo modo que a otros volúmenes; el cifrado y el descifrado se gestionan de forma transparente y no requieren ninguna acción de su parte, la instancia EC2 o su aplicación. Las instantáneas de los volúmenes cifrados se cifran automáticamente y los volúmenes que se crean a partir de las instantáneas cifradas también se cifran de forma automática.
El estado de cifrado de un volumen de EBS se determina al crear el volumen. No puede cambiar el estado de cifrado de un volumen existente. Sin embargo, puede migrar datos entre volúmenes cifrados y no cifrados, y aplicar un nuevo estado de cifrado al copiar una instantánea.
Amazon EBS admite el cifrado opcional de forma predeterminada. Puede activar el cifrado automáticamente en todos los volúmenes y copias instantáneas nuevos de EBS de su región y de su región. Cuenta de AWS Este ajuste de configuración no afecta a los volúmenes o instantáneas existentes. Para obtener más información, consulte Cifrado predeterminado en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
Uso de claves KMS y claves de datos
Cuando crea un volumen Amazon EBS cifrado, se especifica un AWS KMS key. De manera predeterminada, Amazon EBS utiliza la Clave administrada de AWSpara Amazon EBS en su cuenta (aws/ebs
). Sin embargo, puede especificar una clave administrada por el cliente que puede crear y administrar.
Para utilizar una clave administrada por el cliente, debe dar permiso a Amazon EBS para usar la clave KMS en su nombre. Para obtener una lista de los permisos necesarios, consulte Permisos para los usuarios de IAM en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
importante
Amazon EBS solo admite claves KMS simétricas. No se puede utilizar una clave KMS asimétrica para cifrar un volumen de Amazon EBS. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.
Para cada volumen, Amazon EBS solicita AWS KMS generar una clave de datos única cifrada con la clave de KMS que especifique. Amazon EBS almacena la clave de datos cifrada con el volumen. A continuación, al adjuntar el volumen a una instancia de Amazon EC2, Amazon EBS llama AWS KMS para descifrar la clave de datos. Amazon EBS utiliza la clave de datos de texto no cifrado en la memoria del hipervisor para cifrar las operaciones de E/S de disco en el volumen. Para obtener más información, consulte Cómo funciona el cifrado EBS en la Guía del usuario de Amazon EC2 o en la Guía del usuario de Amazon EC2.
Contexto de cifrado de Amazon EBS
En sus solicitudes GenerateDataKeyWithoutPlaintexty en las de Decrypt AWS KMS, Amazon EBS utiliza un contexto de cifrado con un par nombre-valor que identifica el volumen o la instantánea de la solicitud. El nombre en el contexto de cifrado no varía.
Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando incluye un contexto de cifrado en una solicitud de cifrado de datos, vincula AWS KMS criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.
Para todos los volúmenes y para las instantáneas cifradas creadas con la CreateSnapshotoperación Amazon EBS, Amazon EBS utiliza el ID del volumen como valor de contexto de cifrado. En el requestParameters
campo de una entrada de CloudTrail registro, el contexto de cifrado es similar al siguiente:
"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }
Para las instantáneas cifradas creadas con la operación Amazon CopySnapshotEC2, Amazon EBS utiliza el ID de la instantánea como valor de contexto de cifrado. En el requestParameters
campo de una entrada de CloudTrail registro, el contexto de cifrado es similar al siguiente:
"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }
Detección de errores de Amazon EBS
Para crear un volumen de EBS cifrado o adjuntar el volumen a una instancia EC2, Amazon EBS y la infraestructura de Amazon EC2 deben poder usar la clave KMS especificada para el cifrado del volumen de EBS. Cuando la clave KMS no es utilizable, por ejemplo, cuando su estado clave no es Enabled
: la creación del volumen o el adjunto al volumen fallan.
En este caso, Amazon EBS envía un evento a Amazon EventBridge (anteriormente CloudWatch Events) para notificarle el error. En EventBridge, puede establecer reglas que activen acciones automáticas en respuesta a estos eventos. Para obtener más información, consulte Amazon CloudWatch Events para Amazon EBS en la Guía del usuario de Amazon EC2, especialmente en las siguientes secciones:
Para solucionar estos errores, compruebe que esté habilitada la clave KMS que ha especificado para el cifrado del volumen de EBS. Para ello, consulte primero la clave de KMS para determinar su estado de clave actual (la columna Estado de). AWS Management Console A continuación, consulte la información de uno estos enlaces:
-
Si el estado de clave de la clave KMS está deshabilitado, habilítelo.
-
Si el estado de clave de la clave KMS está pendiente de importación, importe el material de claves.
-
Si el estado de clave de la clave KMS es pendiente de eliminación, cancele la eliminación de la clave.
Utilización AWS CloudFormation para crear volúmenes cifrados de Amazon EBS
Puede usar AWS CloudFormation