Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrez les données stockées dans les volumes Amazon EBS pour Amazon ECS
Vous pouvez utiliser AWS Key Management Service (AWS KMS) pour créer et gérer des clés cryptographiques qui protègent vos données. Les volumes Amazon EBS sont chiffrés au repos à l'aide AWS KMS keys de. Les types de données suivants sont cryptés :
-
Données stockées au repos sur le volume
-
E/S de disque
-
Instantanés créés à partir du volume
-
Nouveaux volumes créés à partir de snapshots
Vous pouvez configurer le chiffrement Amazon EBS par défaut afin que tous les nouveaux volumes créés et attachés à une tâche soient chiffrés à l'aide de la clé KMS que vous configurez pour votre compte. Pour plus d'informations sur le chiffrement Amazon EBS et le chiffrement par défaut, consultez la section Chiffrement Amazon EBS dans le guide de l'utilisateur Amazon EC2.
Les volumes Amazon EBS attachés à des tâches peuvent être chiffrés en utilisant soit une valeur par défaut Clé gérée par AWS avec un aliasalias/aws/ebs, soit une clé symétrique gérée par le client. Clés gérées par AWS Les valeurs par défaut sont uniques à chaque Compte AWS Région AWS utilisateur et sont créées automatiquement. Pour créer une clé symétrique gérée par le client, suivez les étapes décrites dans la section Création de clés KMS de chiffrement symétriques dans le manuel du AWS KMS développeur.
Politique relative aux clés KMS gérée par le client
Pour chiffrer un volume EBS attaché à votre tâche à l'aide de votre clé gérée par le client, vous devez configurer votre politique de clé KMS afin de vous assurer que le rôle IAM que vous utilisez pour la configuration du volume dispose des autorisations nécessaires pour utiliser la clé. La politique clé doit inclure les kms:GenerateDataKey* autorisations kms:CreateGrant et. Les kms:ReEncryptFrom autorisations kms:ReEncryptTo et sont nécessaires pour chiffrer les volumes créés à l'aide de snapshots. Si vous souhaitez configurer et chiffrer uniquement les nouveaux volumes vides à des fins de pièce jointe, vous pouvez exclure les kms:ReEncryptFrom autorisations kms:ReEncryptTo et.
L'extrait de code JSON suivant montre les principales déclarations de politique que vous pouvez associer à votre politique clé KMS. L'utilisation de ces instructions permettra à ECS d'utiliser la clé pour chiffrer le volume EBS. Pour utiliser les exemples de déclarations de politique, user input placeholders
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:DescribeKey", "Resource":"*" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": [ "kms:GenerateDataKey*", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:CreateGrant", "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" }, "Bool": { "kms:GrantIsForAWSResource": true } } }
Pour plus d'informations sur les politiques et autorisations clés, voir Politiques clés AWS KMS et AWS KMS autorisations dans le Guide du AWS KMS développeur. Pour résoudre les problèmes de connexion aux volumes EBS liés aux autorisations clés, consultezRésolution des problèmes liés aux pièces jointes de volumes Amazon EBS aux tâches Amazon ECS .
