Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

Amazon EBS Encryption

Chiffrement Amazon EBS offre une solution simple de chiffrement pour vos volumes EBS sans avoir à développer, contrôler et sécuriser votre propre infrastructure de gestion de clés. Lorsque vous créez un volume EBS chiffré et l'attachez à un type d'instance pris en charge, les types de données suivants sont chiffrés :

  • Données au repos à l'intérieur du volume

  • Toutes les données circulant entre le volume et l'instance

  • Tous les instantanés créés à partir du volume

  • Tous les volumes créés à partir de ces instantanés

Les opérations de chiffrement se produisent sur les serveurs qui hébergent des instances EC2, assurant la sécurité des données au repos et des données en transit entre une instance et le stockage EBS associé.

Le chiffrement est pris en charge par tous les types de volume EBS (SSD à usage général [gp2], IOPS provisionnés SSD [io1], HDD à débit optimisé [st1], Cold HDD [sc1] et magnétique [standard]). Les mêmes performances IOPS sont à prévoir sur les volumes chiffrés comme sur les volumes non chiffrés, avec des conséquences minimes sur la latence. Vous pouvez accéder à des volumes chiffrés de la même façon qu'à des volumes non chiffrés. Le chiffrement et le déchiffrement sont gérés de façon transparente et ne nécessitent aucune action supplémentaire de votre part ou de vos applications.

Les instantanés publics de volumes chiffrés ne sont pas pris en charge. Vous pouvez cependant partager un instantané chiffré avec certains comptes. Pour plus d'informations sur le partage d'instantanés chiffrés, consultez Partage d'un instantané Amazon EBS

Chiffrement Amazon EBS n'est disponible qu'avec certains types d'instance. Vous pouvez attacher des volumes chiffrés et des volumes non chiffrés à un type d'instance pris en charge. Pour plus d'informations, consultez Types d'instance pris en charge.

Gestion des clés de chiffrement

Chiffrement Amazon EBS utilise AWS Key Management Service (AWS KMS) les clés principales client (clés CMK) lors de la création de volumes chiffrés et d'instantanés créés à partir de ces derniers. Une clé principale client unique gérée par AWS est créée automatiquement dans chaque région où vous stockez des ressources AWS. Cette clé est utilisée pour Chiffrement Amazon EBS, à moins que vous ne spécifiiez une clé CMK gérée par client, créée séparément avec AWS KMS.

Note

La création de votre propre clé principale client (CMK) vous donne davantage de flexibilité, en vous permettant notamment de créer, effectuer la rotation et désactiver des clés pour définir les contrôles d'accès. Pour plus d'informations, consultez le AWS Key Management Service Developer Guide.

Vous ne pouvez pas modifier la clé principale client associée à un volume chiffré ou un instantané existant. Toutefois, vous pouvez associer une clé principale client différente pendant une opération de copie d'instantané, de sorte que l'instantané copié obtenu se serve de cette nouvelle clé principale client.

EBS chiffre votre volume avec une clé de données à l'aide de l'algorithme AES-256 standard. Votre clé de données est stockée sur disque avec vos données chiffrées, après qu'EBS l'ait chiffrée avec votre clé principale client. Elle n'y apparaîtra jamais en texte brut. Cette même clé de données est partagée par les instantanés du volume et de tous les volumes suivants créés à partir de ces instantanés.

Pour plus d'informations concernant la gestion de clés et les autorisations d'accès aux clés, consultez Utilisation d'AWS KMS par Amazon Elastic Block Store (Amazon EBS) et Authentification et contrôle d'accès pour AWS KMS dans le AWS Key Management Service Developer Guide.

Types d'instance pris en charge

Chiffrement Amazon EBS est disponible sur les types d'instance répertoriés ci-après. Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à ces types d'instance.

  • Usage général : A1, M3, M4, M5, M5d, T2 et T3

  • Calcul optimisé : C3, C4, C5, C5d et C5n

  • Mémoire optimisée : cr1.8xlarge, R3, R4, R5, R5d, X1, X1e et z1d

  • Stockage optimisé : D2, h1.2xlarge, h1.4xlarge, I2 et I3

  • Calcul accéléré : F1, G2, G3, P2 et P3

  • Bare metal : i3.metal, u-6tb1.metal, u-9tb1.metal, and u-12tb1.metal

Pour plus d'informations sur ces types d'instance, consultez Types d'instances Amazon EC2.

Modification de l'état de chiffrement de vos données

Il n'existe aucun moyen direct de chiffrer un volume non chiffré ou de supprimer le chiffrement d'un volume chiffré. Cependant, vous pouvez migrer les données entre les volumes chiffrés et non chiffrés. Vous pouvez également appliquer un nouveau statut de chiffrement lors de la copie d'un instantané :

  • Lors de la copie de l'instantané non chiffré d'un volume non chiffré, vous pouvez chiffrer la copie. Les volumes restaurés à partir de cette copie chiffrée sont également chiffrés.

  • Lors de la copie de l'instantané chiffré d'un volume chiffré, vous pouvez associer la copie à une autre clé principale client. Les volumes restaurés à partir de la copie chiffrée sont uniquement accessibles à l'aide de la nouvelle clé CMK.

Vous ne pouvez pas supprimer le chiffrage d'un instantané chiffré.

Migration des données entre les volumes chiffrés et non chiffrés

Lorsque vous avez accès à la fois à un volume chiffré et non chiffré, vous pouvez librement transférer des données entre eux. EC2 effectue les opérations de chiffrement et de déchiffrement en toute transparence.

Pour migrer les données entre volumes chiffrés et volumes non chiffrés

  1. Créez le volume de destination (chiffré ou non chiffré, selon vos besoins) en suivant les procédures décrites sous Création d'un volume Amazon EBS.

  2. Attachez le volume de destination à l'instance qui héberge les données à migrer. Pour plus d'informations, consultez Attacher un volume Amazon EBS à une instance.

  3. Rendez le volume de destination disponible en suivant les procédures de Rendre un volume Amazon EBS disponible à l'utilisation sur le Linux. Pour les instances Linux, vous pouvez créer un point de montage à l'emplacement /mnt/destination et y monter le volume de destination.

  4. Copiez les données de votre répertoire source vers le volume de destination. Pour cela, il est parfois plus facile d'utiliser un utilitaire de copie groupée.

    Linux

    Utilisez la commande rsync comme suit pour copier les données de votre volume source sur le volume de destination. Dans cet exemple, les données source se trouvent à l'emplacement /mnt/source et le volume de destination est monté à l'emplacement /mnt/destination.

    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    À l'invite de commande, utilisez la commande robocopy pour copier les données du volume source dans le volume de destination. Dans cet exemple, les données source se trouvent à l'emplacement D:\ et le volume de destination est monté à l'emplacement E:\.

    PS C:\> robocopy D:\<sourcefolder> E:\<destinationfolder> /e /copyall /eta

    Note

    Nous vous conseillons de nommer les dossiers de façon explicite, plutôt que de copier tout le volume, afin d'éviter d'éventuels problèmes de dossiers masqués.

Application du chiffrement lors de la copie d'un instantané

Etant donné que vous pouvez appliquer le chiffrement à un instantané lors de la copie, vous pouvez chiffrer vos données de la manière suivante.

Pour chiffrer les données d'un volume via la copie d'un instantané

  1. Créez un instantané du volume EBS non chiffré. Cet instantané est également non chiffré.

  2. Copiez l'instantané lors de l'application des paramètres de chiffrement. L'instantané cible qui en résulte est chiffré.

  3. Restaurez l'instantané chiffré dans un nouveau volume, qui est également chiffré.

Pour plus d'informations, consultez la section Copie d'un instantané Amazon EBS.

Chiffrer un instantané sous une nouvelle clé CMK

La possibilité de chiffrer un instantané pendant la copie vous permet également d'appliquer une nouvelle clé principale client à un instantané déjà chiffré que vous possédez. Les volumes restaurés à partir de la copie qui en résulte sont uniquement accessibles à l'aide de la nouvelle clé CMK.

Note

Si vous copiez un instantané sur une nouvelle clé CMK, une copie complète (non incrémentielle) sera toujours créée, ce qui se traduira par des coûts de stockage supplémentaires.

Dans un scénario similaire, vous pouvez choisir d'appliquer de nouveaux paramètres de chiffrement à une copie d'instantané partagée avec vous. Avant de pouvoir restaurer un volume à partir d'un instantané chiffré partagé, vous devez créer votre propre copie. Par défaut, la copie est chiffrée avec la clé principale client partagée par le propriétaire de l'instantané. Toutefois, nous vous recommandons de créer une copie de l'instantané partagé sous une clé CMK différente de celle dont vous avez le contrôle. Cela protège votre accès au volume si la clé principale client d'origine est compromise ou si le propriétaire la révoque pour quelque raison que ce soit.

La procédure suivante explique comment créer une copie d'un instantané partagé sous une clé CMK gérée par client que vous possédez.

Pour copier un instantané que vous possédez sous une nouvelle clé CMK à l'aide de la console

  1. Créer une clé CMK gérée par client. Pour plus d'informations, consultez AWS Key Management Service Developer Guide.

  2. Créez un volume EBS chiffré sous votre clé CMK gérée par AWS (pour cet exemple).

  3. Créez un instantané du volume EBS chiffré. Cet instantané est également chiffré sous votre clé CMK gérée par AWS.

  4. Sur la page Instantanés, sélectionnez Actions, puis Copier.

  5. Dans la fenêtre Copier un instantané, fournissez l'ARN complet de votre clé principale client (sous la forme arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef) dans le champ Clé principale ou sélectionnez-le dans le menu. Choisissez Copy.

La copie de l'instantané qui en résulte, ainsi que tous les volumes restaurés à partir de celle-ci, sont chiffrés sous votre clé CMK gérée par le client.

La procédure suivante explique comment créer une copie d'un instantané chiffré partagé sous une nouvelle clé CMK que vous possédez. Pour ce faire, vous avez aussi besoin des autorisations d'accès à l'instantané chiffré partagé et à la clé CMK utilisée pour le chiffrer.

Pour copier un instantané partagé sous une clé CMK que vous possédez à l'aide de la console

  1. Sélectionnez l'instantané partagé chiffré sur la page Instantanés, puis sélectionnez Actions et Copier.

  2. Dans la fenêtre Copier un instantané, fournissez l'ARN complet d'une clé CMK que vous possédez (sous la forme arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef) dans le champ Clé principale ou sélectionnez-le dans le menu. Choisissez Copy.

La copie de l'instantané qui en résulte, ainsi que tous les volumes restaurés à partir de celle-ci, sont chiffrés sur la clé CMK que vous avez fournie. Toute modification de l'instantané partagé d'origine, de son statut de chiffrement ou de la clé partagée CMK n'a aucun effet sur la copie.

Pour plus d'informations, consultez la section Copie d'un instantané Amazon EBS.

Chiffrement Amazon EBS et CloudWatch Events

Amazon EBS prend en charge Amazon CloudWatch Events pour certains scénarios de chiffrement. Pour plus d'informations, consultez Amazon CloudWatch Events pour Amazon EBS.