Chiffrement Amazon EBS - Amazon EBS
Fonctionnement du chiffrement EBSChiffrer les ressources EBSAWS KMS Clés rotatives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement Amazon EBS

Utilisez Chiffrement Amazon EBS comme solution de chiffrement simple pour vos ressources EBS associées à vos instances EC2. Avec le chiffrement Amazon EBS, vous n’avez pas besoin de créer, de maintenir ou de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement Amazon EBS utilise les clés AWS KMS keys lors de la création de volumes et d’instantanés chiffrés.

Les opérations de chiffrement ont lieu sur les serveurs hébergeant les instances EC2, garantissant ainsi la sécurité data-in-transit entre une instance data-at-rest et le stockage EBS qui lui est rattaché.

Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à une instance.

Sommaire

Fonctionnement du chiffrement EBS

Vous pouvez chiffrer à la fois les volumes de démarrage et de données d’une instance EC2.

Lorsque vous créez un volume EBS chiffré et l’attachez à un type d’instance pris en charge, les types de données suivants sont chiffrés :

  • Données au repos à l’intérieur du volume

  • Toutes les données circulant entre le volume et l’instance

  • Tous les instantanés créés à partir du volume

  • Tous les volumes créés à partir de ces instantanés

Amazon EBS chiffre votre volume avec une clé de données à l’aide de l’algorithme de chiffrement des données AES-256 standard. La clé de données est générée AWS KMS puis cryptée AWS KMS avec votre AWS KMS clé avant d'être stockée avec les informations de votre volume. Tous les instantanés et les volumes suivants créés à partir de ces instantanés à l'aide de la même AWS KMS clé partagent la même clé de données. Pour plus d’informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service .

Amazon EC2 fonctionne avec AWS KMS pour chiffrer et déchiffrer vos volumes EBS de manière légèrement différente selon que l'instantané à partir duquel vous créez un volume chiffré est chiffré ou non chiffré.

Fonctionnement du chiffrement EBS lorsque le snapshot est chiffré

Lorsque vous créez un volume chiffré à partir d'un instantané chiffré que vous possédez, Amazon EC2 fonctionne avec lui AWS KMS pour chiffrer et déchiffrer vos volumes EBS comme suit :

  1. Amazon EC2 envoie une GenerateDataKeyWithoutPlaintextdemande à AWS KMS, en spécifiant la clé KMS que vous avez choisie pour le chiffrement du volume.

  2. Si le volume est chiffré à l'aide de la même clé KMS que le snapshot, AWS KMS utilise la même clé de données que le snapshot et le chiffre sous cette même clé KMS. Si le volume est chiffré à l'aide d'une autre clé KMS, AWS KMS génère une nouvelle clé de données et la chiffre sous la clé KMS que vous avez spécifiée. La clé de données chiffrée est envoyée à Amazon EBS pour être stockée avec les métadonnées du volume.

  3. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une CreateGrantdemande AWS KMS afin de déchiffrer la clé de données.

  4. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon EC2.

  5. Amazon EC2 utilise la clé de données en texte brut dans le matériel Nitro pour chiffrer les E/S de disque sur le volume. La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l’instance.

Fonctionnement du chiffrement EBS lorsque l’instantané est non chiffré

Lorsque vous créez un volume chiffré à partir d’un instantané non chiffré, Amazon EC2 fonctionne avec AWS KMS pour chiffrer et déchiffrer vos volumes EBS comme suit :

  1. Amazon EC2 envoie une CreateGrantdemande à AWS KMS, afin de chiffrer le volume créé à partir de l'instantané.

  2. Amazon EC2 envoie une GenerateDataKeyWithoutPlaintextdemande à AWS KMS, en spécifiant la clé KMS que vous avez choisie pour le chiffrement du volume.

  3. AWS KMS génère une nouvelle clé de données, la chiffre sous la clé KMS que vous avez choisie pour le chiffrement du volume et envoie la clé de données chiffrée à Amazon EBS pour qu'elle soit stockée avec les métadonnées du volume.

  4. Amazon EC2 envoie une demande de déchiffrement AWS KMS pour déchiffrer la clé de données chiffrée, qu'il utilise ensuite pour chiffrer les données du volume.

  5. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une CreateGrantdemande à AWS KMS, afin qu'il puisse déchiffrer la clé de données.

  6. Lorsque vous attachez le volume chiffré à une instance, Amazon EC2 envoie une demande de déchiffrement à AWS KMS, en spécifiant la clé de données chiffrée.

  7. AWS KMS déchiffre la clé de données chiffrée et envoie la clé de données déchiffrée à Amazon EC2.

  8. Amazon EC2 utilise la clé de données en texte brut dans le matériel Nitro pour chiffrer les E/S de disque sur le volume. La clé de données en texte brut est conservée en mémoire tant que le volume est attaché à l’instance.

Pour plus d’informations, consultez Comment Amazon Elastic Block Store (Amazon EBS) utilise AWS KMS et Amazon EC2, exemple deux dans le Guide du développeur AWS Key Management Service .

Comment les clés KMS inutilisables affectent les clés de données

Lorsqu'une clé KMS devient inutilisable, l'effet est presque immédiat (sous réserve d'une éventuelle cohérence). L’état de clé de la clé KMS change pour refléter son nouvel état, et toutes les requêtes d’utilisation de la clé KMS dans des opérations cryptographiques échouent.

Lorsque vous effectuez une action qui rend la clé KMS inutilisable, il n’y a aucun effet immédiat sur l’instance EC2 ou sur les volumes EBS attachés. Amazon EC2 utilise la clé de données, non pas la clé KMS, pour chiffrer toutes les E/S de disque tant que le volume est attaché à l’instance.

Toutefois, lorsque le volume EBS chiffré est détaché de l'instance EC2, Amazon EBS supprime la clé de données en texte brut du matériel Nitro. La prochaine fois que le volume EBS chiffré est attaché à une instance EC2, l'attachement échoue, car Amazon EBS ne peut pas utiliser la clé KMS pour déchiffrer la clé de données chiffrée du volume. Pour utiliser le volume EBS à nouveau, vous devez rendre la clé KMS à nouveau utilisable.

Astuce

Si vous ne souhaitez plus accéder aux données stockées dans un volume EBS chiffré à l’aide d’une clé de données générée à partir d’une clé KMS que vous souhaitez rendre inutilisable, nous vous recommandons de détacher le volume EBS de l’instance EC2 avant de rendre la clé KMS inutilisable.

Pour plus d’informations, veuillez consulter la rubrique How unusable KMS keys affect data keys dans le Guide du développeur AWS Key Management Service .

Chiffrer les ressources EBS

Vous chiffrez les volumes EBS en activant le chiffrement, soit en utilisant le chiffrement par défaut, soit en activant le chiffrement lorsque vous créez un volume que vous souhaitez chiffrer.

Lorsque vous chiffrez un volume, vous pouvez spécifier la clé de chiffrement KMS symétrique à utiliser à cette fin. Si vous ne spécifiez pas de clé KMS, la clé KMS utilisée pour le chiffrement dépend de l’état de chiffrement de l’instantané source et de son propriétaire. Pour plus d’informations, consultez le tableau des résultats de chiffrement.

Note

Si vous utilisez l'API ou si vous AWS CLI souhaitez spécifier une clé KMS, sachez que la clé KMS est AWS authentifiée de manière asynchrone. Si vous spécifiez un ID de clé KMS, un alias ou un ARN qui n’est pas valide, l’action peut sembler se terminer mais finalement échouer.

Vous ne pouvez pas modifier la clé KMS associée à un volume ou à un instantané existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.

Chiffrer un volume vide lors de sa création

Lorsque vous créez un volume EBS vide, vous pouvez le chiffrer en activant le chiffrement pour l’opération de création du volume spécifique. Si vous avez activé le chiffrement EBS par défaut, le volume est automatiquement chiffré à l’aide de votre clé KMS par défaut de chiffrement EBS. Sinon, vous pouvez spécifier une autre clé de chiffrement KMS symétrique pour l’opération de création du volume spécifique. Le volume est chiffré dès sa mise à disposition afin que vos données soient toujours sécurisées. Pour connaître les procédures détaillées, consultez Créez un volume Amazon EBS..

Par défaut, la clé KMS que vous avez sélectionnée lors de la création d’un volume chiffre les instantanés que vous créez à partir de ce volume, et les volumes que vous restaurez à partir de ces instantanés chiffrés. Vous ne pouvez pas supprimer le chiffrement d’un volume ou d’un instantané chiffré, ce qui signifie qu’un volume restauré à partir d’un instantané chiffré, ou une copie d’un instantané chiffré, reste toujours chiffré(e).

Les instantanés publics de volumes chiffrés ne sont pas pris en charge. Vous pouvez cependant partager un instantané chiffré avec certains comptes. Pour obtenir des instructions complètes, consultez Partager un instantané Amazon EBS.

Chiffrer les ressources non chiffrées

Vous ne pouvez pas directement chiffrer les volumes ou les instantanés non chiffrés existants. Toutefois, vous pouvez créer des volumes ou des instantanés chiffrés à partir de volumes ou d’instantanés non chiffrés. Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou le nouvel instantané obtenu à l’aide de votre clé KMS de chiffrement EBS par défaut. Sinon, vous pouvez activer le chiffrement lors de la création d’un volume ou d’un instantané individuel, à l’aide de la clé KMS du chiffrement Amazon EBS par défaut ou d’une clé de chiffrement gérée par le client symétrique. Pour plus d’informations, consultez Créez un volume Amazon EBS. et Copier un instantané Amazon EBS.

Pour chiffrer la copie de l’instantané dans une clé clé gérée par le client, vous devez activer le chiffrement et spécifier la clé clé KMS, comme illustré dans Copie d’un instantané non chiffré (chiffrement par défaut non activé).

Important

Amazon EBS ne prend pas en charge les clés de chiffrement KMS asymétriques. Pour plus d’informations, consultez Utilisation des clés de chiffrement KMS symétriques et asymétriques du Guide du développeur AWS Key Management Service .

Vous pouvez également appliquer de nouveaux états de chiffrement au moment de lancer une instance à partir d’une AMI basée sur EBS. En effet, les AMI basées sur EBS incluent des instantanés des volumes EBS qui peuvent être chiffrés comme décrit. Pour plus d'informations, voir Utiliser le chiffrement avec les AMI basées sur EBS.

AWS KMS Clés rotatives

Les bonnes pratiques de chiffrement décourage la réutilisation étendue des clés de chiffrement.

Pour créer un nouveau matériel cryptographique à utiliser avec le chiffrement Amazon EBS, vous pouvez soit créer une nouvelle clé gérée par le client, puis modifier vos applications pour utiliser cette nouvelle clé KMS. Vous pouvez également activer la rotation automatique des clés pour une clé gérée par le client existante.

Lorsque vous activez la rotation automatique des clés pour une clé gérée par le client, de nouveaux éléments cryptographiques sont AWS KMS générés chaque année pour la clé KMS. AWS KMS enregistre toutes les versions précédentes du matériel cryptographique afin que vous puissiez continuer à déchiffrer et à utiliser les volumes et les instantanés précédemment chiffrés avec ce matériel clé KMS. AWS KMS ne supprime aucun élément clé pivoté tant que vous n'avez pas supprimé la clé KMS.

Lorsque vous utilisez une clé gérée par le client pivotée pour chiffrer un nouveau volume ou un nouvel instantané, elle AWS KMS utilise le (nouveau) contenu clé actuel. Lorsque vous utilisez une clé gérée par le client pivotée pour déchiffrer un volume ou un instantané, AWS KMS utilisez la version du matériel cryptographique utilisé pour le chiffrer. Si un volume ou un instantané est chiffré avec une version précédente du matériel cryptographique, continuez AWS KMS à utiliser cette version précédente pour le déchiffrer. AWS KMS ne rechiffre pas les volumes ou les instantanés précédemment chiffrés pour utiliser le nouveau matériel cryptographique après une rotation de clé. Ils restent chiffrés avec le matériel cryptographique avec lequel ils ont été initialement chiffrés. Vous pouvez utiliser en toute sécurité une clé gérée par le client avec rotation dans les applications et les AWS services sans modifier le code.

Note

  • La rotation automatique des clés n'est prise en charge que pour les clés symétriques gérées par le client dont le contenu clé est AWS KMS créé.

  • AWS KMS change automatiquement Clés gérées par AWS chaque année. Vous ne pouvez pas activer ou désactiver la rotation des clés pour Clés gérées par AWS.

Pour plus d’informations, consultez Rotation de clé KMS dans le Guide du développeur AWS Key Management Service .