Chiffrement Amazon EBS Utilisation des clés KMS et des clés de données Contexte du chiffrement Amazon EBS Détection des défaillances Amazon EBS Utilisation AWS CloudFormation pour créer des volumes Amazon EBS chiffrés

Comment Amazon Elastic Block Store (Amazon EBS) utilise AWS KMS

Cette rubrique décrit en détail comment Amazon Elastic Block Store (Amazon EBS) AWS KMS utilise pour chiffrer les volumes et les instantanés. Pour obtenir des instructions de base sur le chiffrement de volumes Amazon EBS, veuillez consulter Chiffrement Amazon EBS.

Rubriques

Chiffrement Amazon EBS
Utilisation des clés KMS et des clés de données
Contexte du chiffrement Amazon EBS
Détection des défaillances Amazon EBS
Utilisation AWS CloudFormation pour créer des volumes Amazon EBS chiffrés

Chiffrement Amazon EBS

Lorsque vous attachez un volume Amazon EBS chiffré à un type d'instance Amazon Elastic Compute Cloud (Amazon EC2) pris en charge, les données stockées au repos sur le volume, les I/O de disque et les instantanés créés à partir du volume sont tous chiffrés. Le chiffrement intervient sur les serveurs qui hébergent les instances Amazon EC2.

Cette fonction est prise en charge sur tous les types de volume Amazon EBS. Vous pouvez accéder aux volumes chiffrés de la même façon que vous accédez aux autres volumes. Le chiffrement et le déchiffrement sont gérés de façon transparente et ne nécessitent aucune action supplémentaire de votre part, de votre instance EC2 ou de votre application. Les instantanés de volumes chiffrés sont automatiquement chiffrés et les volumes créés à partir d'instantanés chiffrés sont également automatiquement chiffrés.

Le statut de chiffrement d'un volume EBS est déterminé lorsque vous créez le volume. Vous ne pouvez pas modifier le statut de chiffrement d'un volume existant. Par contre, vous pouvez migrer les données entre des volumes chiffrés et des volumes non chiffrés, et appliquer un nouveau statut de chiffrement lors de la copie d'un instantané.

Amazon EBS prend en charge le chiffrement facultatif par défaut. Vous pouvez activer le chiffrement automatiquement sur tous les nouveaux volumes EBS et les copies instantanées de votre Compte AWS région. Ce paramètre de configuration n'affecte pas les volumes ou instantanés existants. Pour plus de détails, consultez la section Chiffrement par défaut dans le guide de l'utilisateur Amazon EC2 ou le guide de l'utilisateur Amazon EC2.

Utilisation des clés KMS et des clés de données

Lorsque vous créez un volume Amazon EBS., vous spécifiez un AWS KMS key. Par défaut, Amazon EBS utilise la Clé gérée par AWS pour Amazon EBS dans votre compte (aws/ebs). Toutefois, vous pouvez spécifier une clé gérée par le client que vous créez et gérez.

Pour utiliser une clé gérée par le client, vous devez autoriser Amazon EBS à utiliser la clé KMS en votre nom. Pour obtenir la liste des autorisations requises, consultez la section Autorisations pour les utilisateurs IAM dans le guide de l'utilisateur Amazon EC2 ou le guide de l'utilisateur Amazon EC2.

Important

Amazon EBS prend uniquement en charge les clés KMS symétriques. Vous ne pouvez pas utiliser une clé KMS asymétrique pour chiffrer un volume Amazon EBS. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.

Pour chaque volume, Amazon EBS demande de AWS KMS générer une clé de données unique chiffrée sous la clé KMS que vous spécifiez. Amazon EBS stocke la clé de données chiffrée avec le volume. Ensuite, lorsque vous attachez le volume à une instance Amazon EC2, Amazon EBS appelle AWS KMS pour déchiffrer la clé de données. Amazon EBS utilise la clé de données en texte brut dans la mémoire de l'hyperviseur pour chiffrer toutes les I/O de disque sur le volume. Pour plus de détails, consultez Comment fonctionne le chiffrement EBS dans le guide de l'utilisateur Amazon EC2 ou le guide de l'utilisateur Amazon EC2.

Contexte du chiffrement Amazon EBS

Dans ses demandes GenerateDataKeyWithoutPlaintextet Decrypt à AWS KMS, Amazon EBS utilise un contexte de chiffrement avec une paire nom-valeur qui identifie le volume ou le snapshot inclus dans la demande. Le nom du contexte de chiffrement ne varie pas.

Un contexte de chiffrement est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Pour tous les volumes et pour les instantanés chiffrés créés avec l'CreateSnapshotopération Amazon EBS, Amazon EBS utilise l'ID du volume comme valeur de contexte de chiffrement. Dans le requestParameters champ d'une entrée de CloudTrail journal, le contexte de chiffrement ressemble à ce qui suit :


"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Pour les instantanés chiffrés créés avec l'opération Amazon CopySnapshotEC2, Amazon EBS utilise l'ID du snapshot comme valeur de contexte de chiffrement. Dans le requestParameters champ d'une entrée de CloudTrail journal, le contexte de chiffrement ressemble à ce qui suit :


"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Détection des défaillances Amazon EBS

Pour créer un volume EBS chiffré ou attacher le volume à une instance EC2, Amazon EBS et l'infrastructure Amazon EC2 doivent être en mesure d'utiliser la clé KMS que vous avez spécifiée pour le chiffrement des volumes EBS. Lorsque la clé KMS n'est pas utilisable, par exemple lorsque son état de clé n'est pas Enabled, la création ou l'attachement du volume échoue.

Dans ce cas, Amazon EBS envoie un événement à Amazon EventBridge (anciennement CloudWatch Events) pour vous informer de l'échec. Dans EventBridge, vous pouvez établir des règles qui déclenchent des actions automatiques en réponse à ces événements. Pour plus d'informations, consultez Amazon CloudWatch Events pour Amazon EBS dans le guide de l'utilisateur Amazon EC2, en particulier les sections suivantes :

Pour résoudre ces problèmes, veillez à ce que la clé KMS spécifiée pour le chiffrement des volumes EBS soit activée. Pour ce faire, consultez d'abord la clé KMS afin de déterminer son état actuel (colonne État dans le AWS Management Console). Ensuite, consultez les informations à l'aide de l'un des liens suivants :

Si la clé KMS est désactivée, activez-la.
Si la clé KMS est en attente d'importation, importez-la.
Si la clé KMS est en attente de suppression, annulez cette suppression.

Utilisation AWS CloudFormation pour créer des volumes Amazon EBS chiffrés

Vous pouvez utiliser AWS CloudFormation pour créer des volumes Amazon EBS chiffrés. Pour plus d'informations, consultez AWS::EC2::Volumele guide de AWS CloudFormation l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon DynamoDB

Amazon Elastic Transcoder