Enkripsi EBS Amazon - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi EBS Amazon

Gunakan enkripsi Amazon EBS sebagai solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans EC2 Anda. Gunakan enkripsi Amazon EBS, dan Anda tidak perlu membangun, memelihara, atau mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi Amazon EBS menggunakan AWS KMS keys saat membuat volume dan snapshot yang terenkripsi.

Operasi enkripsi terjadi pada server yang meng-host instans EC2, memastikan keamanan keduanya data-at-rest dan data-in-transit antara instance dan penyimpanan EBS terlampirnya.

Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan.

Cara kerja enkripsi EBS

Anda dapat mengenkripsi volume boot dan data dari instans EC2.

Saat Anda membuat volume EBS terenkripsi dan melampirkannya ke tipe instans yang didukung, tipe data berikut dienkripsi:

  • Data diam di dalam volume

  • Semua data yang bergerak antara volume dan instans

  • Semua snapshot yang dibuat dari volume

  • Semua volume yang dibuat dari snapshot tersebut

Amazon EBS mengenkripsi volume Anda dengan kunci data menggunakan enkripsi data AES-256 standar industri. Kunci data dihasilkan oleh AWS KMS dan kemudian dienkripsi AWS KMS dengan AWS KMS kunci Anda sebelum disimpan dengan informasi volume Anda. Semua snapshot, dan volume berikutnya yang dibuat dari snapshot tersebut menggunakan kunci yang sama berbagi AWS KMS kunci data yang sama. Untuk informasi selengkapnya, lihat Kunci data di Panduan Developer AWS Key Management Service .

Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda dengan cara yang sedikit berbeda tergantung pada apakah snapshot dari mana Anda membuat volume terenkripsi dienkripsi atau tidak dienkripsi.

Cara kerja enkripsi EBS saat snapshot dienkripsi

Saat Anda membuat volume terenkripsi dari snapshot terenkripsi yang Anda miliki, Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  2. Jika volume dienkripsi menggunakan kunci KMS yang sama dengan snapshot, AWS KMS gunakan kunci data yang sama dengan snapshot dan mengenkripsinya di bawah kunci KMS yang sama. Jika volume dienkripsi menggunakan kunci KMS yang berbeda, AWS KMS buat kunci data baru dan enkripsi di bawah kunci KMS yang Anda tentukan. Kunci data terenkripsi dikirimkan ke Amazon EBS untuk disimpan dengan metadata volume.

  3. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan agar dapat AWS KMS mendekripsi kunci data.

  4. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  5. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi I/O disk ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Cara kerja enkripsi EBS saat snapshot yang tidak terenkripsi

Ketika Anda membuat volume terenkripsi dari snapshot yang tidak terenkripsi yang Anda miliki, Amazon EC2 bekerja dengan AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan CreateGrantpermintaan ke AWS KMS, sehingga dapat mengenkripsi volume yang dibuat dari snapshot.

  2. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  3. AWS KMS menghasilkan kunci data baru, mengenkripsinya di bawah kunci KMS yang Anda pilih untuk enkripsi volume, dan mengirimkan kunci data terenkripsi ke Amazon EBS untuk disimpan dengan metadata volume.

  4. Amazon EC2 mengirimkan permintaan Dekripsi untuk mendapatkan kunci enkripsi AWS KMS untuk mengenkripsi data volume.

  5. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan AWS KMS ke, sehingga dapat mendekripsi kunci data.

  6. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS ke, yang menentukan kunci data terenkripsi.

  7. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  8. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi I/O disk ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Untuk informasi selengkapnya, lihat Cara Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS dan Contoh dua Amazon EC2 dalam Panduan Developer AWS Key Management Service .

Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data

Ketika kunci KMS menjadi tidak dapat digunakan, efeknya hampir seketika (tergantung pada konsistensi akhirnya). Status kunci dari perubahan kunci KMS untuk mencerminkan kondisi barunya, dan semua permintaan untuk menggunakan kunci KMS dalam operasi kriptografi gagal.

Saat Anda melakukan tindakan yang membuat kunci KMS tidak dapat digunakan, tidak akan ada efek langsung pada instans EC2 atau volume EBS yang dilampirkan. Amazon EC2 menggunakan kunci data, bukan kunci KMS, untuk mengenkripsi semua I/O disk saat volume dilampirkan ke instans.

Namun, saat volume EBS terenkripsi dicopot dari instans EC2, Amazon EBS menghapus kunci data dari perangkat keras Nitro. Pada saat volume EBS yang terenkripsi dilampirkan ke instans EC2, pelampiran akan gagal karena Amazon EBS tidak dapat menggunakan kunci KMS untuk mendekripsi kunci data terenkripsi dari volume tersebut. Untuk menggunakan volume EBS lagi, Anda harus membuat kunci KMS dapat digunakan lagi.

Tip

Jika Anda tidak lagi menginginkan akses ke data yang disimpan dalam volume EBS yang dienkripsi dengan kunci data yang dihasilkan dari kunci KMS yang ingin Anda buat agar tidak dapat digunakan, sebaiknya copot volume EBS dari instans EC2 sebelum Anda membuat kunci KMS tidak dapat digunakan.

Untuk informasi selengkapnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data di Panduan Developer AWS Key Management Service .

Persyaratan

Sebelum memulai, verifikasi bahwa persyaratan berikut dipenuhi.

Tipe volume yang mendukung

Enkripsi mendukung oleh semua tipe volume EBS. Anda dapat mengharapkan performa IOPS yang sama pada volume terenkripsi seperti pada volume yang tidak terenkripsi, dengan efek minimal pada latensi. Anda dapat mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume yang tidak terenkripsi. Enkripsi dan dekripsi ditangani secara transparan, dan tidak memerlukan tindakan tambahan dari Anda atau aplikasi Anda.

Tipe instans yang didukung

Enkripsi Amazon EBS tersedia pada semua tipe instans generasi saat ini dan generasi sebelumnya.

Izin untuk pengguna

Bila Anda menggunakan kunci KMS untuk enkripsi EBS, kebijakan kunci KMS memungkinkan setiap pengguna dengan akses ke AWS KMS tindakan yang diperlukan untuk menggunakan kunci KMS ini untuk mengenkripsi atau mendekripsi sumber daya EBS. Anda harus memberikan izin kepada pengguna untuk melakukan tindakan berikut agar dapat menggunakan enkripsi EBS:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Tip

Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Untuk informasi selengkapnya, lihat Mengizinkan akses ke AWS akun dan mengaktifkan kebijakan IAM di bagian Kebijakan kunci default di Panduan AWS Key Management Service Pengembang.

Izin untuk instans

Saat instans mencoba berinteraksi dengan AMI, volume, atau snapshot terenkripsi, pemberian kunci KMS dikeluarkan untuk peran khusus identitas instans. Peran khusus identitas adalah peran IAM yang digunakan oleh instans untuk berinteraksi dengan AMI, volume, atau snapshot yang terenkripsi atas nama Anda.

Peran khusus identitas tidak perlu dibuat atau dihapus secara manual, dan tidak memiliki kebijakan yang terkait dengannya. Selain itu, Anda tidak dapat mengakses kredensial peran khusus identitas.

catatan

Peran khusus identitas tidak digunakan oleh aplikasi pada instans Anda untuk mengakses sumber daya AWS KMS terenkripsi lainnya, seperti objek Amazon S3 atau tabel Dynamo DB. Operasi ini dilakukan dengan menggunakan kredensil peran instans Amazon EC2, atau kredenal AWS lain yang telah Anda konfigurasikan pada instans Anda.

Peran khusus identitas tunduk pada kebijakan kontrol layanan (SCP), dan kebijakan kunci KMS. Jika kunci SCP atau KMS menolak akses peran identitas saja ke kunci KMS, Anda mungkin gagal meluncurkan instans EC2 dengan volume terenkripsi, atau menggunakan AMI atau snapshot terenkripsi.

Jika Anda membuat SCP atau kebijakan kunci yang menolak akses berdasarkan lokasi jaringan menggunakanaws:SourceIp,,, atau kunci kondisi aws:SourceVpce AWS global aws:VpcSourceIpaws:SourceVpc, maka Anda harus memastikan bahwa pernyataan kebijakan ini tidak berlaku untuk peran instance-only. Untuk contoh kebijakan, lihat Contoh Kebijakan Perimeter Data.

ARN peran khusus identitas menggunakan format berikut:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Ketika pemberian kunci diberikan kepada sebuah instans, pemberian kunci tersebut dikeluarkan untuk sesi peran yang diasumsikan khusus untuk instans tersebut. ARN pengguna utama penerima menggunakan format berikut:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id

Kunci KMS default untuk enkripsi EBS

Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda menyimpan AWS sumber daya. Kunci KMS ini memiliki alias alias/aws/ebs. Secara default, Amazon EBS menggunakan kunci KMS ini untuk enkripsi. Alternatifnya, Anda dapat menentukan kunci enkripsi yang dikelola pelanggan simetris yang Anda buat sebagai kunci KMS default untuk enkripsi EBS. Penggunaan kunci KMS sendiri akan memberikan Anda fleksibilitas yang lebih baik, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan kunci KMS.

penting

Amazon EBS tidak mendukung kunci KMS enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci KMS enkripsi simetris dan asimetris di Panduan Developer AWS Key Management Service .

New console
Untuk mengonfigurasi kunci KMS default guna enkripsi EBS untuk suatu Wilayah
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih Dasbor EC2.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Pilih Kelola.

  6. Untuk Kunci enkripsi default, pilih kunci enkripsi yang dikelola pelanggan simetris.

  7. Pilih Perbarui enkripsi EBS.

Old console
Untuk mengonfigurasi kunci KMS default guna enkripsi EBS untuk suatu Wilayah
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih Dasbor EC2.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Pengaturan.

  5. Pilih Ubah kunci default, lalu pilih kunci KMS yang tersedia.

  6. Pilih Simpan pengaturan.

Enkripsi secara default

Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instans dan snapshot yang Anda salin dari snapshot yang tidak dienkripsi. Untuk contoh transisi dari sumber daya EBS tidak terenkripsi menjadi terenkripsi, lihat Mengenkripsi sumber daya yang tidak terenkripsi.

Enkripsi secara default tidak berpengaruh pada volume atau snapshot EBS yang ada.

Pertimbangan
  • Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.

  • Enkripsi Amazon EBS secara default didukung pada semua tipe instans generasi saat ini dan generasi sebelumnya.

  • Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.

  • Saat memigrasi server menggunakan AWS Server Migration Service (SMS), jangan nyalakan enkripsi secara default. Jika enkripsi secara default sudah aktif dan Anda mengalami kegagalan replikasi delta, matikan enkripsi secara default. Sebaliknya, aktifkan enkripsi AMI saat Anda membuat tugas replikasi.

Amazon EC2 console
Untuk mengaktifkan enkripsi secara default untuk Wilayah
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih Dasbor EC2.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Pilih Kelola.

  6. Pilih Aktifkan. Anda menyimpan Kunci yang dikelola AWS dengan alias yang alias/aws/ebs dibuat atas nama Anda sebagai kunci enkripsi default, atau memilih kunci enkripsi terkelola pelanggan simetris.

  7. Pilih Perbarui enkripsi EBS.

AWS CLI
Untuk melihat pengaturan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 get-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Untuk mengaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 enable-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Untuk menonaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 disable-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
PowerShell
Untuk melihat pengaturan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk mengaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk menonaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

Enkripsi sumber daya EBS

Anda mengenkripsi volume EBS dengan mengaktifkan enkripsi, menggunakan enkripsi secara default atau dengan mengaktifkan enkripsi saat Anda membuat volume yang ingin Anda enkripsi.

Saat Anda mengenkripsi volume, Anda dapat menentukan kunci KMS enkripsi simetris untuk mengenkripsi volume. Jika Anda tidak menentukan kunci KMS, kunci KMS yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya. Untuk informasi selengkapnya, lihat tabel hasil enkripsi.

catatan

Jika Anda menggunakan API atau AWS CLI untuk menentukan kunci KMS, ketahuilah bahwa AWS mengautentikasi kunci KMS secara asinkron. Jika Anda menentukan ID kunci KMS, suatu alias, atau ARN yang tidak valid, tindakan dapat muncul untuk diselesaikan, tetapi akhirnya akan gagal.

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot atau volume yang ada. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

Enkripsi volume kosong pada saat pembuatan

Saat Anda membuat volume EBS baru yang kosong, Anda dapat mengenkripsinya dengan mengaktifkan enkripsi untuk operasi pembuatan volume tertentu. Jika Anda mengaktifkan enkripsi EBS secara default, volume akan dienkripsi secara otomatis menggunakan kunci KMS default untuk enkripsi EBS. Sebagai alternatif, Anda dapat menentukan kunci KMS enkripsi simetris yang berbeda untuk operasi pembuatan volume spesifik. Volume dienkripsi saat pertama kali tersedia, sehingga data Anda selalu aman. Untuk prosedur terperinci, lihat Buat volume Amazon EBS.

Secara default, kunci KMS yang Anda pilih saat membuat volume mengenkripsi snapshot yang Anda buat dari volume dan volume yang Anda pulihkan dari snapshot yang dienkripsi tersebut. Anda tidak dapat menghapus enkripsi dari volume atau snapshot terenkripsi, yang berarti bahwa volume yang dipulihkan dari snapshot terenkripsi, atau salinan snapshot terenkripsi, selalu dienkripsi.

Snapshot publik dari volume terenkripsi tidak didukung, tetapi Anda dapat berbagi snapshot terenkripsi dengan akun tertentu. Untuk petunjuk terperinci, lihat Membagikan snapshot Amazon EBS.

Mengenkripsi sumber daya yang tidak terenkripsi

Anda tidak dapat secara langsung mengenkripsi volume atau snapshot yang tidak terenkripsi. Namun, Anda dapat membuat volume atau snapshot terenkripsi dari volume atau snapshot yang tidak terenkripsi. Jika Anda mengaktifkan enkripsi secara default, Amazon EBS secara otomatis mengenkripsi volume dan snapshot baru menggunakan kunci KMS default Anda untuk enkripsi EBS. Jika tidak, Anda dapat mengaktifkan enkripsi saat membuat volume atau snapshot individual, menggunakan kunci KMS default untuk enkripsi Amazon EBS atau kunci enkripsi simetris yang dikelola pelanggan. Untuk informasi lebih lanjut, lihat Buat volume Amazon EBS dan Menyalin snapshot Amazon EBS.

Untuk mengenkripsi salinan snapshot ke kunci yang dikelola pelanggan, Anda harus mengaktifkan enkripsi dan menentukan kunci KMS, seperti yang ditunjukkan dalam Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan).

penting

Amazon EBS tidak mendukung kunci KMS enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci KMS enkripsi Simetris dan Asimetris di Panduan Developer AWS Key Management Service .

Anda juga dapat menerapkan status enkripsi baru saat meluncurkan instans dari AMI yang didukung EBS. Hal ini karena AMI yang didukung EBS menyertakan snapshot volume EBS yang dapat dienkripsi sebagaimana dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan enkripsi dengan AMI yang didukung EBS.

Tombol berputar AWS KMS

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif. Untuk membuat material kriptografi baru untuk kunci KMS, Anda dapat membuat kunci KMS baru, lalu mengubah aplikasi atau alias Anda untuk menggunakan kunci KMS baru. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci KMS yang ada.

Ketika Anda mengaktifkan rotasi kunci otomatis untuk kunci KMS, AWS KMS menghasilkan materi kriptografi baru untuk kunci KMS setiap tahun. AWS KMS menyimpan semua versi sebelumnya dari materi kriptografi sehingga Anda dapat mendekripsi data apa pun yang dienkripsi dengan kunci KMS itu. AWS KMS tidak menghapus materi kunci yang diputar sampai Anda menghapus kunci KMS.

Saat Anda menggunakan kunci KMS yang diputar untuk mengenkripsi data, AWS KMS gunakan materi kunci saat ini. Saat Anda menggunakan kunci KMS yang diputar untuk mendekripsi data, AWS KMS gunakan versi bahan kunci yang digunakan untuk mengenkripsinya. Anda dapat dengan aman menggunakan kunci KMS yang diputar dalam aplikasi dan AWS layanan tanpa perubahan kode.

catatan

Rotasi kunci otomatis hanya didukung untuk kunci yang dikelola pelanggan simetris dengan materi utama yang AWS KMS dibuat. AWS KMS secara otomatis berputar Kunci yang dikelola AWS setiap tahun. Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci yang dikelola AWS.

Untuk informasi selengkapnya, lihat Merotasi kunci KMS di Panduan Developer AWS Key Management Service .

Skenario enkripsi

Saat Anda membuat sumber daya EBS terenkripsi, sumber daya tersebut dienkripsi dengan kunci KMS default akun Anda untuk enkripsi EBS kecuali Anda menentukan kunci yang dikelola pelanggan yang berbeda dalam parameter pembuatan volume atau pemetaan perangkat blok untuk AMI atau instans. Untuk informasi selengkapnya, lihat Kunci KMS default untuk enkripsi EBS.

Contoh berikut ini menggambarkan cara mengelola status enkripsi volume dan snapshot Anda. Untuk daftar lengkap kasus enkripsi, lihat tabel hasil enkripsi.

Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)

Tanpa enkripsi yang diaktifkan secara default, volume yang dipulihkan dari snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi volume yang dihasilkan dengan mengatur Encrypted dan, secara opsional, KmsKeyId parameter. Diagram berikut menggambarkan prosesnya.


                    Saat Anda membuat volume dari snapshot yang tidak terenkripsi, tentukan kunci KMS untuk membuat volume terenkripsi.

Jika Anda meninggalkan parameter KmsKeyId, volume yang dihasilkan dienkripsi menggunakan kunci KMS default Anda untuk enkripsi EBS. Anda harus menentukan ID kunci KMS untuk mengenkripsi volume ke kunci KMS yang berbeda.

Untuk informasi selengkapnya, lihat Membuat volume dari snapshot.

Mengembalikan volume yang tidak terenkripsi (enkripsi secara default diaktifkan)

Jika Anda telah mengaktifkan enkripsi secara default, enkripsi wajib dilakukan untuk volume yang dipulihkan dari snapshot yang tidak terenkripsi, dan tidak ada parameter enkripsi yang diperlukan agar kunci KMS default Anda dapat digunakan. Diagram berikut menunjukkan kasus default sederhana ini:


                    Saat Anda membuat volume dari snapshot yang tidak terenkripsi tetapi enkripsi secara default diaktifkan, kami menggunakan kunci KMS default untuk membuat volume terenkripsi.

Jika Anda ingin mengenkripsi volume yang dipulihkan ke kunci enkripsi yang dikelola pelanggan simetris, Anda harus menyediakan Encrypted dan KmsKeyId parameter seperti ditunjukkan dalam Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan).

Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)

Tanpa enkripsi yang diaktifkan secara default, salinan snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi snapshot yang dihasilkan dengan mengatur parameter Encrypted dan, secara opsional, parameter KmsKeyId. Jika Anda menghilangkan KmsKeyId, snapshot yang dihasilkan dienkripsi oleh kunci KMS default Anda. Anda harus menentukan ID kunci KMS untuk mengenkripsi volume ke kunci KMS enkripsi simetris yang berbeda.

Diagram berikut menggambarkan prosesnya.


                    Buat snapshot terenkripsi dari snapshot yang tidak dienkripsi.

Anda dapat mengenkripsi volume EBS dengan menyalin snapshot yang tidak dienkripsi ke snapshot yang dienkripsi, lalu membuat volume dari snapshot yang dienkripsi. Untuk informasi selengkapnya, lihat Menyalin snapshot Amazon EBS.

Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)

Ketika Anda telah mengaktifkan enkripsi secara default, enkripsi diwajibkan untuk salinan snapshot yang tidak dienkripsi, dan tidak ada parameter enkripsi yang diperlukan jika kunci KMS default Anda digunakan. Diagram berikut menggambarkan kasus default ini:


                    Buat snapshot terenkripsi dari snapshot yang tidak dienkripsi.

Mengenkripsi ulang volume yang dienkripsi

Saat tindakan CreateVolume beroperasi pada snapshot terenkripsi, Anda memiliki opsi mengenkripsi ulang kunci KMS yang berbeda. Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua kunci KMS, kunci KMS A dan kunci KMS B. Snapshot sumber dienkripsi oleh kunci KMS A. Selama pembuatan volume, dengan ID kunci KMS dari kunci KMS B ditentukan sebagai parameter, data sumber adalah didekripsi secara otomatis, kemudian dienkripsi ulang dengan kunci KMS B.


                    Salin snapshot terenkripsi dan enkripsi salinan ke kunci KMS baru.

Untuk informasi selengkapnya, lihat Membuat volume dari snapshot.

Mengenkripsi ulang snapshot yang dienkripsi

Kemampuan untuk mengenkripsi snapshot selama penyalinan memungkinkan Anda menerapkan kunci KMS enkripsi simetris baru ke snapshot yang sudah terenkripsi yang Anda miliki. Volume yang dipulihkan dari salinan hasil hanya dapat diakses menggunakan kunci KMS baru. Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua kunci KMS, kunci KMS A dan kunci KMS B. Snapshot sumber dienkripsi oleh kunci KMS A. Selama penyalinan, dengan ID kunci KMS dari kunci KMS B ditentukan sebagai parameter, data sumber secara otomatis dienkripsi ulang dengan kunci KMS B.


                    Salin snapshot terenkripsi dan enkripsi salinan ke kunci KMS baru.

Dalam skenario terkait, Anda dapat memilih untuk menerapkan parameter enkripsi baru ke salinan snapshot yang telah dibagikan dengan Anda. Secara default, salinan tersebut dienkripsi dengan kunci KMS yang dibagikan oleh pemilik snapshot. Namun, sebaiknya buat salinan snapshot yang dibagikan menggunakan kunci KMS lain yang Anda kontrol. Hal ini melindungi akses Anda ke volume jika kunci KMS awal terancam, atau jika pemilik mencabut kunci KMS karena alasan apa pun. Untuk informasi selengkapnya, lihat Enkripsi dan penyalinan snapshot.

Memigrasikan data antara volume terenkripsi dan tidak terenkripsi

Saat Anda memiliki akses ke volume terenkripsi dan tidak terenkripsi, Anda dapat dengan bebas mentransfer data di antara keduanya. EC2 menjalankan operasi enkripsi dan dekripsi secara transparan.

Misalnya, gunakan perintah robocopy untuk menyalin data. Dalam perintah berikut, data sumber terletak di D:\ dan volume tujuan dipasang pada E:\.

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

Kami menyarankan untuk menyalin dari folder, daripada seluruh volume, untuk menghindari potensi masalah dari folder tersembunyi.

Hasil enkripsi

Tabel berikut menjelaskan hasil enkripsi untuk setiap kombinasi pengaturan yang memungkinkan.

Apakah enkripsi diaktifkan? Apakah enkripsi secara default diaktifkan? Sumber volume Default (tidak ada kunci dikelola pelanggan yang ditentukan) Kustom (kunci dikelola pelanggan ditentukan)
Tidak Tidak Volume (kosong) baru Tidak terenkripsi T/A
Tidak Tidak Snapshot tidak terenkripsi yang Anda miliki Tidak terenkripsi
Tidak Tidak Snapshot terenkripsi yang Anda miliki Dienkripsi dengan kunci yang sama
Tidak Tidak Snapshot yang tidak terenkripsi yang dibagikan dengan Anda Tidak terenkripsi
Tidak Tidak Snapshot terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan*
Ya Tidak Volume baru Dienkripsi secara default dengan kunci yang dikelola pelanggan Dienkripsi oleh kunci yang dikelola pelanggan yang ditentukan**
Ya Tidak Snapshot tidak terenkripsi yang Anda miliki Dienkripsi secara default dengan kunci yang dikelola pelanggan
Ya Tidak Snapshot terenkripsi yang Anda miliki Dienkripsi dengan kunci yang sama
Ya Tidak Snapshot yang tidak terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan
Ya Tidak Snapshot terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan
Tidak Ya Volume (kosong) baru Dienkripsi secara default dengan kunci yang dikelola pelanggan T/A
Tidak Ya Snapshot tidak terenkripsi yang Anda miliki Dienkripsi secara default dengan kunci yang dikelola pelanggan
Tidak Ya Snapshot terenkripsi yang Anda miliki Dienkripsi dengan kunci yang sama
Tidak Ya Snapshot yang tidak terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan
Tidak Ya Snapshot terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan
Ya Ya Volume baru Dienkripsi secara default dengan kunci yang dikelola pelanggan Dienkripsi oleh kunci yang dikelola pelanggan yang ditentukan
Ya Ya Snapshot tidak terenkripsi yang Anda miliki Dienkripsi secara default dengan kunci yang dikelola pelanggan
Ya Ya Snapshot terenkripsi yang Anda miliki Dienkripsi dengan kunci yang sama
Ya Ya Snapshot yang tidak terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan
Ya Ya Snapshot terenkripsi yang dibagikan dengan Anda Dienkripsi secara default dengan kunci yang dikelola pelanggan

* Ini adalah kunci terkelola pelanggan default yang digunakan untuk enkripsi EBS untuk AWS akun dan Wilayah. Secara default, ini adalah unik Kunci yang dikelola AWS untuk EBS, atau Anda dapat menentukan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Kunci KMS default untuk enkripsi EBS.

** Ini adalah kunci yang dikelola pelanggan yang ditentukan untuk volume saat waktu peluncuran. Kunci yang dikelola pelanggan ini digunakan sebagai pengganti kunci terkelola pelanggan default untuk AWS akun dan Wilayah.

Mengatur default enkripsi menggunakan API dan CLI

Anda dapat mengelola enkripsi secara default dan kunci KMS default menggunakan tindakan API dan perintah CLI berikut.

Tindakan API Perintah CLI Deskripsi

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-kunci-id

Menjelaskan kunci KMS default.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Menunjukkan apakah enkripsi secara default diaktifkan.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-kunci-id

Mengubah kunci KMS default yang digunakan untuk mengenkripsi volume EBS.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-kunci-id

Mengatur ulang Kunci yang dikelola AWS sebagai kunci KMS default yang digunakan untuk mengenkripsi volume EBS.