Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

Amazon EBS Encryption

Chiffrement Amazon EBS offre une solution simple de chiffrement pour vos ressources EBS, qui n'exige pas de développer, contrôler ni sécuriser votre propre infrastructure de gestion de clés. Il utilise les clés principales client (clés CMK) AWS Key Management Service (AWS KMS) lors de la création d'instantanés et de volumes chiffrés.

Les opérations de chiffrement se produisent sur les serveurs qui hébergent des instances EC2, assurant la sécurité des données au repos et des données en transit entre une instance et le stockage EBS associé.

Fonctionnement du chiffrement EBS

Vous pouvez chiffrer à la fois les volumes de démarrage et de données d'une instance EC2. Lorsque vous créez un volume EBS chiffré et l'attachez à un type d'instance pris en charge, les types de données suivants sont chiffrés :

  • Données au repos à l'intérieur du volume

  • Toutes les données circulant entre le volume et l'instance

  • Tous les instantanés créés à partir du volume

  • Tous les volumes créés à partir de ces instantanés

EBS chiffre votre volume avec une clé de données à l'aide de l'algorithme AES-256 standard. Votre clé de données est stockée sur le disque avec vos données chiffrées, mais seulement après qu'EBS l'a chiffrée avec votre clé CMK. Votre clé de données n'apparaît jamais sur le disque en texte brut. Cette même clé de données est partagée par les instantanés du volume et de tous les volumes suivants créés à partir de ces instantanés. Pour de plus amples informations, veuillez consulter Clés de données dans le AWS Key Management Service Developer Guide.

Amazon EBS fonctionne avec AWS KMS pour chiffrer et déchiffrer vos volumes EBS comme suit :

  1. Amazon EBS envoie une demande CreateGrant à AWS KMS, afin qu'il puisse déchiffrer la clé de données.

  2. Amazon EBS envoie une demande GenerateDataKeyWithoutPlaintext à AWS KMS, en spécifiant la clé CMK à utiliser pour chiffrer le volume.

  3. AWS KMS génère une nouvelle clé de données, la chiffre à l'aide de la clé CMK spécifiée et envoie la clé de données chiffrée à Amazon EBS pour qu'elle y soit stockée avec les métadonnées du volume.

  4. Lorsque vous attachez un volume chiffré à une instance, Amazon EBS envoie une demande Decrypt à AWS KMS, en spécifiant la clé de données chiffrée.

  5. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon EBS.

  6. Amazon EBS utilise la clé de données en texte brut dans la mémoire de l'hyperviseur pour chiffrer les E/S de disque sur le volume. La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l'instance.

Pour de plus amples informations, veuillez consulter Comment Amazon Elastic Block Store (Amazon EBS) utilise AWS KMS et Entrées des fichiers journauxAWS KMS dans le AWS Key Management Service Developer Guide.

Prérequis

Avant de commencer, vérifiez que les conditions requises suivantes sont respectées :

Types de volume pris en charge

Le chiffrement est pris en charge par tous les types de volume EBS. Les mêmes performances IOPS sont à prévoir sur les volumes chiffrés que sur les volumes non chiffrés, avec des conséquences minimes sur la latence. Vous pouvez accéder à des volumes chiffrés de la même façon qu'à des volumes non chiffrés. Le chiffrement et le déchiffrement sont gérés de façon transparente et ne nécessitent aucune action supplémentaire de votre part ou de vos applications.

Types d'instance pris en charge

Chiffrement Amazon EBS est disponible sur les types d'instance répertoriés ci-après. Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à ces types d'instance.

  • Usage général : A1, M3, M4, M5, M5a, M5ad, M5d, M5dn, M5n, T2, T3 et T3a

  • Calcul optimisé : C3, C4, C5, C5d et C5n

  • Mémoire optimisée : cr1.8xlarge, R3, R4, R5, R5a, R5ad, R5d, R5dn, R5n, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, u-18tb1.metal, u-24tb1.metal, X1, X1e et z1d

  • Stockage optimisé : D2, h1.2xlarge, h1.4xlarge, I2, I3 et I3en

  • Calcul accéléré : F1, G2, G3, G4, P2 et P3

Autorisations pour les utilisateurs IAM

Lorsque vous configurez une clé CMK comme clé par défaut pour le chiffrement EBS, la stratégie de clé par défaut permet à tout utilisateur IAM ayant accès aux actions KMS requises d'utiliser cette clé pour chiffrer ou déchiffrer des ressources EBS. Vous devez accorder aux utilisateurs IAM l'autorisation d'appeler les actions suivantes afin d'utiliser le chiffrement EBS :

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Pour suivre le principe du moindre privilège, n'autorisez pas l'accès complet à kms:CreateGrant. Au lieu de cela, autorisez l'utilisateur à créer des octrois sur la clé CMK uniquement lorsque l'octroi est créé pour le compte de l'utilisateur par un service AWS, comme illustré dans l'exemple suivant :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Pour de plus amples informations, veuillez consulter Stratégie de clé par défaut dans le AWS Key Management Service Developer Guide.

Clé par défaut pour le chiffrement EBS

Amazon EBS crée automatiquement une clé CMK unique gérée par AWS dans chaque région où vous stockez des ressources AWS. Cette clé possède l'alias alias/aws/ebs. Par défaut, Amazon EBS utilise cette clé pour le chiffrement. Vous pouvez également spécifier une clé CMK gérée par le client que vous avez créée comme clé par défaut pour le chiffrement EBS. L'utilisation de votre propre clé CMK vous donne plus de flexibilité dans la mesure où elle vous permet de créer des clés, de les modifier ou de les désactiver à votre convenance.

Pour configurer la clé par défaut de chiffrement EBS pour une région

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région.

  3. Choisissez Attributs du compte, Paramètres.

  4. Choisissez Change the default key (Modifier la clé par défaut), puis choisissez une clé disponible.

  5. Sélectionnez Update (Mettre à jour).

Chiffrement par défaut

Vous pouvez configurer votre compte AWS pour imposer le chiffrement des nouveaux volumes EBS et des copies d'instantané que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d'un instantané non chiffré. Pour voir des exemples de transition de ressources EBS non chiffrées à chiffrées, consultez Chiffrement de ressources non chiffrées.

Le chiffrement par défaut n'a aucun effet sur les instantanés ni les volumes EBS existants.

Considérations

  • Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l'activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région.

  • Lorsque vous activez le chiffrement par défaut, vous ne pouvez lancer une instance que si le type d'instance prend en charge le chiffrement EBS. Pour plus d'informations, consultez Types d'instance pris en charge.

  • Lors de la migration des serveurs avec AWS Server Migration Service (SMS), n'activez pas le chiffrement par défaut. Si le chiffrement par défaut est déjà activé et que vous rencontrez des échecs de réplication delta, désactivez cette fonction. Activez plutôt un chiffrement AMI lorsque vous créez la tâche de réplication.

Pour activer le chiffrement par défaut pour une région

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région.

  3. Dans le volet de navigation, sélectionnez Tableau de bord EC2.

  4. En haut à droite de la page, choisissez Attributs du compte, Paramètres.

  5. Sous EBS Storage (Stockage EBS), sélectionnez Always encrypt new EBS volumes (Toujours chiffrer les nouveaux volumes EBS).

  6. Sélectionnez Update (Mettre à jour).

Vous ne pouvez pas modifier la clé CMK associée à un volume chiffré ou un instantané existant. Toutefois, vous pouvez associer une autre clé CMK pendant une opération de copie d'instantané, de sorte que l'instantané copié obtenu soit chiffré par cette nouvelle clé CMK.

Chiffrement des ressources EBS

Vous chiffrez les volumes EBS en activant le chiffrement, soit en utilisant le chiffrement par défaut, soit en activant le chiffrement lorsque vous créez un volume que vous souhaitez chiffrer.

Lorsque vous chiffrez un volume, vous pouvez spécifier la clé CMK à utiliser pour ce faire. Si vous ne spécifiez pas de clé CMK, la clé utilisée pour le chiffrement dépend de l'état de chiffrement de l'instantané source et de son propriétaire. Pour de plus amples informations, veuillez consulter le tableau des résultats de chiffrement.

Vous ne pouvez pas modifier la clé CMK associée à un volume ou un instantané existant. Toutefois, vous pouvez associer une autre clé CMK pendant une opération de copie d'instantané, de sorte que l'instantané copié obtenu soit chiffré par cette nouvelle clé CMK.

Création de nouveaux volumes vides avec chiffrement

Lorsque vous créez un volume EBS vide, vous pouvez le chiffrer en activant le chiffrement pour l'opération de création du volume spécifique. Si vous avez activé le chiffrement EBS par défaut, le volume est automatiquement chiffré. Par défaut, le volume est chiffré avec votre clé par défaut de chiffrement EBS. Sinon, vous pouvez spécifier une autre clé CMK pour l'opération de création du volume spécifique. Le volume est chiffré dès sa mise à disposition afin que vos données soient toujours sécurisées. Pour connaître les procédures détaillées, consultez Création d'un volume Amazon EBS.

Par défaut, la clé CMK que vous avez sélectionnée lors de la création d'un volume chiffre les instantanés que vous créez à partir de ce volume et les volumes que vous restaurez à partir de ces instantanés chiffrés. Vous ne pouvez pas supprimer le chiffrement d'un volume ou d'un instantané chiffré, ce qui signifie qu'un volume restauré à partir d'un instantané chiffré, ou une copie d'un instantané chiffré, reste toujours chiffré(e).

Les instantanés publics de volumes chiffrés ne sont pas pris en charge. Vous pouvez cependant partager un instantané chiffré avec certains comptes. Pour obtenir des instructions complètes, consultez Partage d'un instantané Amazon EBS.

Chiffrement de ressources non chiffrées

Bien qu'il n'existe aucun moyen direct de chiffrer un volume ou un instantané non chiffré existant, vous pouvez les chiffrer en créant un volume ou un instantané. Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou instantané obtenu à l'aide de votre clé par défaut de chiffrement EBS. Même si vous n'avez pas activé le chiffrement par défaut, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané spécifique. Que vous activiez le chiffrement par défaut ou dans des opérations de création spécifiques, vous pouvez remplacer la clé par défaut de chiffrement EBS et sélectionner une clé CMK gérée par le client. Pour plus d'informations, consultez Création d'un volume Amazon EBS et Copie d'un instantané Amazon EBS.

Pour chiffrer la copie de l'instantané avec une clé CMK gérée par le client, vous devez activer le chiffrement et spécifier la clé, comme illustré dans Copie d'un instantané non chiffré (chiffrement par défaut non activé).

Vous pouvez également appliquer de nouveaux états de chiffrement au moment de lancer une instance à partir d'une AMI basée sur EBS. En effet, les AMI basées sur EBS incluent des instantanés des volumes EBS qui peuvent être chiffrés comme décrit. Pour plus d'informations, consultez Utilisation du chiffrement avec les AMI basées sur EBS.

Scénarios de chiffrement

Lorsque vous créez une ressource EBS chiffrée, elle est chiffrée par la clé par défaut de chiffrement EBS de votre compte, sauf si vous spécifiez une autre clé CMK gérée par le client dans les paramètres de création de volume ou le mappage de périphérique de stockage en mode bloc pour l'AMI ou l'instance. Pour plus d'informations, consultez Clé par défaut pour le chiffrement EBS.

Les exemples suivants montrent comment vous pouvez gérer l'état de chiffrement de vos volumes et instantanés. Pour obtenir une liste complète des cas de chiffrement, consultez le tableau des résultats de chiffrement.

Restauration d'un volume non chiffré (chiffrement par défaut non activé)

Sans le chiffrement par défaut activé, un volume restauré à partir d'un instantané non chiffré est non chiffré par défaut. Cependant, vous pouvez chiffrer le volume créé en définissant le paramètre Encrypted et, éventuellement, le paramètre KmsKeyId. Le schéma suivant illustre le processus.

Si vous ne spécifiez pas le paramètre KmsKeyId, le volume obtenu est chiffré à l'aide de votre clé par défaut de chiffrement EBS. Vous devez fournir un ID de clé pour chiffrer le volume avec une autre clé CMK.

Pour plus d'informations, consultez Restaurer un volume Amazon EBS à partir d'un instantané.

Restauration d'un volume non chiffré (chiffrement par défaut activé)

Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les volumes restaurés à partir d'instantanés non chiffrés et aucun paramètre de chiffrement n'est requis pour utiliser votre clé CMK par défaut. Le schéma suivant illustre ce cas simple par défaut :

Si vous souhaitez chiffrer le volume restauré avec une clé CMK gérée par le client, vous devez fournir les paramètres Encrypted et KmsKeyId, comme illustré dans Restauration d'un volume non chiffré (chiffrement par défaut non activé).

Copie d'un instantané non chiffré (chiffrement par défaut non activé)

Sans le chiffrement par défaut activé, une copie d'un instantané non chiffré est non chiffrée par défaut. Cependant, vous pouvez chiffrer l'instantané créé en définissant le paramètre Encrypted et, éventuellement, le paramètre KmsKeyId. Si vous omettez le paramètre KmsKeyId, l'instantané obtenu est chiffré par votre clé CMK par défaut. Vous devez fournir un ID de clé pour chiffrer le volume avec une autre clé CMK.

Le schéma suivant illustre le processus.


                    Créez un instantané chiffré à partir d'un instantané non chiffré.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Vous pouvez chiffrer un volume EBS en copiant un instantané non chiffré sur un instantané chiffré, puis en créant un volume à partir de l'instantané chiffré. Pour plus d'informations, consultez Copie d'un instantané Amazon EBS.

Copie d'un instantané non chiffré (chiffrement par défaut activé)

Lorsque vous avez activé le chiffrement par défaut, le chiffrement est obligatoire pour les copies d'instantanés non chiffrés et aucun paramètre de chiffrement n'est requis si votre clé CMK par défaut est utilisée. Le schéma suivant illustre ce scénario par défaut :


                    Créez un instantané chiffré à partir d'un instantané non chiffré.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Rechiffrement d'un volume chiffré

Lorsque l'action CreateVolume est effectuée sur un instantané chiffré, vous avez l'option de rechiffrer celui-ci avec une autre clé CMK. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux clés CMK, la clé CMK A et la clé CMK B. L'instantané source est chiffré avec la clé CMK A. Pendant la création de volume, avec l'ID de clé de la clé CMK B spécifié comme paramètre, les données sources sont automatiquement déchiffrées, puis rechiffrées avec la clé CMK B.


                    Copie d'un instantané chiffré et chiffrement de la copie avec une nouvelle clé.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Pour plus d'informations, consultez Restaurer un volume Amazon EBS à partir d'un instantané.

Rechiffrement d'un instantané chiffré

La possibilité de chiffrer un instantané pendant la copie vous permet d'appliquer une nouvelle clé principale client à un instantané déjà chiffré que vous possédez. Les volumes restaurés à partir de la copie qui en résulte sont uniquement accessibles à l'aide de la nouvelle clé CMK. Le schéma suivant illustre le processus. Dans cet exemple, vous possédez deux clés CMK, la clé CMK A et la clé CMK B. L'instantané source est chiffré avec la clé CMK A. Pendant la copie, avec l'ID de clé de la clé CMK B spécifié comme paramètre, les données sources sont automatiquement rechiffrées avec la clé CMK B.


                    Copie d'un instantané chiffré et chiffrement de la copie avec une nouvelle clé.

Note

Si vous copiez et chiffrez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) est toujours créée, ce qui entraîne un délai et des coûts de stockage supplémentaires.

Dans un scénario similaire, vous pouvez choisir d'appliquer de nouveaux paramètres de chiffrement à une copie d'instantané partagée avec vous. Par défaut, la copie est chiffrée avec la clé principale client partagée par le propriétaire de l'instantané. Toutefois, nous vous recommandons de créer une copie de l'instantané partagé sous une clé CMK différente de celle dont vous avez le contrôle. Cela protège votre accès au volume si la clé principale client d'origine est compromise ou si le propriétaire la révoque pour quelque raison que ce soit. Pour plus d'informations, consultez Chiffrement et copie d'instantanés.

Migration des données entre les volumes chiffrés et non chiffrés

Lorsque vous avez accès à la fois à un volume chiffré et non chiffré, vous pouvez librement transférer des données entre eux. EC2 effectue les opérations de chiffrement et de déchiffrement en toute transparence.

Par exemple, utilisez la commande rsync pour copier les données. Dans l'exemple suivant, les données source se trouvent à l'emplacement /mnt/source et le volume de destination est monté à l'emplacement /mnt/destination.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Résultats du chiffrement

Le tableau suivant décrit le résultat de chiffrement pour chaque combinaison possible de paramètres.

Le chiffrement est-il activé ? Le chiffrement est-il activé par défaut ? Source du volume Cas par défaut (aucune clé CMK spécifiée) Cas personnalisé (clé CMK spécifiée)
Non Non Nouveau volume (vide) Non chiffré S/O
Non Non Instantané non chiffré que vous possédez Non chiffré
Non Non Instantané chiffré que vous possédez Chiffré par la même clé
Non Non Instantané non chiffré qui est partagé avec vous Non chiffré
Non Non Instantané chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut*
Oui Non Nouveau volume Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée**
Oui Non Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut
Oui Non Instantané chiffré que vous possédez Chiffré par la même clé
Oui Non Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Non Instantané chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Non Oui Nouveau volume (vide) Chiffré par la clé CMK par défaut
Non Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut S/O
Non Oui Instantané chiffré que vous possédez Chiffré par la même clé
Non Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Non Oui Instantané chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Oui Nouveau volume Chiffré par la clé CMK par défaut Chiffré par une clé CMK spécifiée
Oui Oui Instantané non chiffré que vous possédez Chiffré par la clé CMK par défaut
Oui Oui Instantané chiffré que vous possédez Chiffré par la même clé
Oui Oui Instantané non chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut
Oui Oui Instantané chiffré qui est partagé avec vous Chiffré par la clé CMK par défaut

*Clé CMK par défaut utilisée pour le chiffrement EBS pour le compte et la région AWS. Il s'agit par défaut d'une clé CMK unique gérée par AWS pour EBS, ou vous pouvez spécifier une clé CMK gérée par le client. Pour plus d'informations, consultez Clé par défaut pour le chiffrement EBS.

**Clé CMK gérée par le client, spécifiée pour le volume lors du lancement. Cette clé CMK est utilisée à la place de la clé CMK par défaut pour le compte et la région AWS.

Définition des valeurs par défaut de chiffrement avec l'API et l'interface de ligne de commande

Vous pouvez gérer le chiffrement par défaut et la clé principale client (clé CMK) par défaut en utilisant les actions d'API et les commandes CLI suivantes.

Action d'API Commande de l'interface de ligne de commande Description

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Désactive le chiffrement par défaut.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Active le chiffrement par défaut.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

Décrit la clé CMK par défaut.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Indique si le chiffrement par défaut est activé.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

Modifie la clé CMK par défaut utilisée pour chiffrer les volumes EBS.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

Réinitialise la clé CMK par défaut gérée par AWS en tant que clé CMK par défaut utilisée pour chiffrer les volumes EBS.