Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Travaillez avec le chiffrement Amazon EBS
Utilisez les procédures suivantes pour utiliser le chiffrement Amazon EBS.
Tâches
Sélectionnez une clé KMS pour le chiffrement EBS
Amazon EBS crée automatiquement un identifiant unique Clé gérée par AWS dans chaque région dans laquelle vous stockez AWS des ressources. Cette clé clé KMS possède l’alias alias/aws/ebs
. Par défaut, Amazon EBS utilise cette clé KMS pour le chiffrement. Vous pouvez également spécifier une clé de chiffrement gérée par le client symétrique que vous avez créée comme clé KMS par défaut pour le chiffrement EBS. L’utilisation de votre propre clé KMS vous donne plus de flexibilité dans la mesure où elle vous permet de créer des clés Clés KMS, de les modifier ou de les désactiver à votre convenance.
Important
Amazon EBS ne prend pas en charge les clés de chiffrement KMS asymétriques. Pour plus d’informations, consultez Utilisation des clés de chiffrement KMS symétriques et asymétriques du Guide du développeur AWS Key Management Service .
Activer le chiffrement par défaut
Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux volumes EBS et des copies instantanées que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d’un instantané non chiffré. Pour voir des exemples de transition de ressources EBS non chiffrées à chiffrées, consultez Chiffrer les ressources non chiffrées.
Le chiffrement par défaut n’a aucun effet sur les instantanés ni les volumes EBS existants.
Considérations
-
Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l’activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région.
-
Le chiffrement Amazon EBS est pris en charge par défaut sur tous les types d'instances de génération actuelle et précédente.
-
Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.
-
Lorsque vous migrez des serveurs à l'aide de AWS Server Migration Service (SMS), n'activez pas le chiffrement par défaut. Si le chiffrement par défaut est déjà activé et que vous rencontrez des échecs de réplication delta, désactivez cette fonction. Activez plutôt un chiffrement AMI lorsque vous créez la tâche de réplication.
Vous ne pouvez pas modifier la clé KMS associée à un volume chiffré ou à un instantané existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.
Gérez le chiffrement par défaut à l'aide de l'API et de la CLI
Vous pouvez gérer le chiffrement par défaut et la clé KMS par défaut en utilisant les actions d’API et les commandes CLI suivantes.
Action d’API | Commande de la CLI | Description |
---|---|---|
disable-ebs-encryption-by-par défaut |
Désactive le chiffrement par défaut. |
|
enable-ebs-encryption-by-par défaut |
Active le chiffrement par défaut. |
|
get-ebs-default-kms-identificateur de clé |
Décrit la clé KMS par défaut. |
|
get-ebs-encryption-by-par défaut |
Indique si le chiffrement par défaut est activé. |
|
modify-ebs-default-kms-identificateur de clé |
Modifie la clé KMS par défaut utilisée pour chiffrer les volumes EBS. |
|
reset-ebs-default-kms-identificateur de clé |
Réinitialise la Clé gérée par AWS clé KMS par défaut utilisée pour chiffrer les volumes EBS. |