Chiffrement de volume Amazon EBS

Amazon EBS offre une possibilité de chiffrement de volume. Chaque volume est chiffré à l'aide d'AES-256-XTS. Cela nécessite deux clés de volume de 256 bits, que vous pouvez considérer comme une seule clé de volume de 512 bits. La clé de volume est chiffrée sous une clé KMS de votre compte. Afin qu'Amazon EBS puisse chiffrer un volume pour vous, il doit disposer d'un accès pour générer une clé de volume (VK) sous une clé KMS dans le compte. Pour ce faire, vous autorisez à Amazon EBS un droit d'accès à la clé KMS aux fins de créer des clés de données, ainsi que pour chiffrer et déchiffrer ces clés de volume. Amazon EBS utilise AWS KMS désormais une clé KMS pour générer des clés de volume AWS KMS chiffrées.

Le flux de travail suivant chiffre les données en cours d'écriture sur un volume Amazon EBS :

1. Amazon EBS obtient une clé de volume chiffrée sous une clé KMS AWS KMS via une session TLS et stocke la clé chiffrée avec les métadonnées du volume.

2. Lorsque le volume Amazon EBS est monté, la clé de volume chiffrée est récupérée.

3. Un appel AWS KMS via TLS est effectué pour déchiffrer la clé de volume chiffrée. AWS KMS identifie la clé KMS et envoie une demande interne à un HSM de la flotte pour déchiffrer la clé de volume chiffrée. AWS KMS renvoie ensuite la clé de volume à l'hôte Amazon Elastic Compute Cloud (Amazon EC2) qui contient votre instance au cours de la session TLS.

4. La clé de volume est utilisée pour chiffrer et déchiffrer toutes les données en provenance et à destination du volume Amazon EBS associé. Amazon EBS conserve la clé de volume chiffrée pour utilisation ultérieure au cas où la clé de volume en mémoire ne serait plus disponible.

Pour plus d'informations sur le chiffrement des volumes Amazon EBS à l'aide de clés KMS, consultez la section Comment Amazon Elastic Block Store utilise AWS KMS dans le manuel du AWS Key Management Service développeur et le chiffrement Amazon EBS dans le guide de l' EC2 utilisateur Amazon et le guide de l'utilisateur Amazon EC2 .