Travaillez avec le chiffrement Amazon EBS

Utilisez les procédures suivantes pour utiliser le chiffrement Amazon EBS.

Sélectionnez une clé KMS pour le chiffrement EBS

Amazon EBS crée automatiquement un identifiant unique Clé gérée par AWS dans chaque région dans laquelle vous stockez AWS des ressources. Cette clé clé KMS possède l’alias alias/aws/ebs. Par défaut, Amazon EBS utilise cette clé KMS pour le chiffrement. Vous pouvez également spécifier une clé de chiffrement gérée par le client symétrique que vous avez créée comme clé KMS par défaut pour le chiffrement EBS. L’utilisation de votre propre clé KMS vous donne plus de flexibilité dans la mesure où elle vous permet de créer des clés Clés KMS, de les modifier ou de les désactiver à votre convenance.

Important

Amazon EBS ne prend pas en charge les clés de chiffrement KMS asymétriques. Pour plus d’informations, consultez Utilisation des clés de chiffrement KMS symétriques et asymétriques du Guide du développeur AWS Key Management Service .

Amazon EC2 console

Pour configurer la clé KMS par défaut du chiffrement EBS pour une région

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans la barre de navigation, sélectionnez la région.

3. Dans le volet de navigation, sélectionnez Tableau de bord EC2.

4. En haut à droite de la page, choisissez Attributs du compte, Protection des données et sécurité.

5. Choisissez Gérer.

6. Dans le champ Clé de chiffrement par défaut, choisissez une clé de chiffrement gérée par le client symétrique.

7. Choisissez Mettre à jour le chiffrement EBS.

Activer le chiffrement par défaut

Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux volumes EBS et des copies instantanées que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d’un instantané non chiffré. Pour voir des exemples de transition de ressources EBS non chiffrées à chiffrées, consultez Chiffrer les ressources non chiffrées.

Le chiffrement par défaut n’a aucun effet sur les instantanés ni les volumes EBS existants.

Considérations

• Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l’activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région.

• Le chiffrement Amazon EBS est pris en charge par défaut sur tous les types d'instances de génération actuelle et précédente.

• Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.

• Lorsque vous migrez des serveurs à l'aide de AWS Server Migration Service (SMS), n'activez pas le chiffrement par défaut. Si le chiffrement par défaut est déjà activé et que vous rencontrez des échecs de réplication delta, désactivez cette fonction. Activez plutôt un chiffrement AMI lorsque vous créez la tâche de réplication.

Amazon EC2 console

Pour activer le chiffrement par défaut pour une région

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans la barre de navigation, sélectionnez la région.

3. Dans le volet de navigation, sélectionnez Tableau de bord EC2.

4. En haut à droite de la page, choisissez Attributs du compte, Protection des données et sécurité.

5. Choisissez Gérer.

6. Sélectionnez Activer. Vous conservez l' Clé gérée par AWS alias alias/aws/ebs créé en votre nom comme clé de chiffrement par défaut, ou vous choisissez une clé de chiffrement symétrique gérée par le client.

7. Choisissez Mettre à jour le chiffrement EBS.

AWS CLI

Pour afficher le paramètre de chiffrement par défaut

• Pour une région spécifique

  $ aws ec2 get-ebs-encryption-by-default --region region

• Pour toutes les régions de votre compte

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Pour activer le chiffrement par défaut

• Pour une région spécifique

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Pour toutes les régions de votre compte

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Pour désactiver le chiffrement par défaut

• Pour une région spécifique

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Pour toutes les régions de votre compte

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

PowerShell

Pour afficher le paramètre de chiffrement par défaut

• Pour une région spécifique

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Pour toutes les régions de votre compte

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Pour activer le chiffrement par défaut

• Pour une région spécifique

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Pour toutes les régions de votre compte

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Pour désactiver le chiffrement par défaut

• Pour une région spécifique

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Pour toutes les régions de votre compte

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Vous ne pouvez pas modifier la clé KMS associée à un volume chiffré ou à un instantané existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.

Gérez le chiffrement par défaut à l'aide de l'API et de la CLI

Vous pouvez gérer le chiffrement par défaut et la clé KMS par défaut en utilisant les actions d’API et les commandes CLI suivantes.

Action d’API	Commande de la CLI	Description
DisableEbsEncryptionByDefault	disable-ebs-encryption-by-par défaut	Désactive le chiffrement par défaut.
EnableEbsEncryptionByDefault	enable-ebs-encryption-by-par défaut	Active le chiffrement par défaut.
GetEbsDefaultKmsKeyId	get-ebs-default-kms-identificateur de clé	Décrit la clé KMS par défaut.
GetEbsEncryptionByDefault	get-ebs-encryption-by-par défaut	Indique si le chiffrement par défaut est activé.
ModifyEbsDefaultKmsKeyId	modify-ebs-default-kms-identificateur de clé	Modifie la clé KMS par défaut utilisée pour chiffrer les volumes EBS.
ResetEbsDefaultKmsKeyId	reset-ebs-default-kms-identificateur de clé	Réinitialise la Clé gérée par AWS clé KMS par défaut utilisée pour chiffrer les volumes EBS.