Persyaratan untuk EBS enkripsi Amazon

Sebelum memulai, verifikasi bahwa persyaratan berikut dipenuhi.

Tipe volume yang mendukung

Enkripsi didukung oleh semua jenis EBS volume. Anda dapat mengharapkan IOPS kinerja yang sama pada volume terenkripsi seperti pada volume yang tidak terenkripsi, dengan efek minimal pada latensi. Anda dapat mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume yang tidak terenkripsi. Enkripsi dan dekripsi ditangani secara transparan, dan tidak memerlukan tindakan tambahan dari Anda atau aplikasi Anda.

Jenis instans yang didukung

EBSEnkripsi Amazon tersedia di semua jenis instans generasi saat ini dan generasi sebelumnya.

Izin untuk pengguna

Bila Anda menggunakan KMS kunci untuk EBS enkripsi, kebijakan KMS kunci memungkinkan setiap pengguna dengan akses ke AWS KMS tindakan yang diperlukan untuk menggunakan KMS kunci ini untuk mengenkripsi atau mendekripsi EBS sumber daya. Anda harus memberikan izin kepada pengguna untuk memanggil tindakan berikut untuk menggunakan EBS enkripsi:

• kms:CreateGrant

• kms:Decrypt

• kms:DescribeKey

• kms:GenerateDataKeyWithoutPlainText

• kms:ReEncrypt

Tip

Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource kondisi untuk memungkinkan pengguna membuat hibah pada KMS kunci hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Untuk informasi selengkapnya, lihat Mengizinkan akses ke AWS akun dan mengaktifkan IAM kebijakan di bagian Kebijakan kunci default di Panduan AWS Key Management Service Pengembang.

Izin untuk instans

Saat instance mencoba berinteraksi dengan terenkripsiAMI, volume, atau snapshot, hibah KMS kunci dikeluarkan untuk peran hanya identitas instans. Peran hanya identitas adalah peran yang IAM digunakan oleh instans untuk berinteraksi dengan terenkripsiAMIs, volume, atau snapshot atas nama Anda.

Peran khusus identitas tidak perlu dibuat atau dihapus secara manual, dan tidak memiliki kebijakan yang terkait dengannya. Selain itu, Anda tidak dapat mengakses kredensial peran khusus identitas.

catatan

Peran khusus identitas tidak digunakan oleh aplikasi pada instans Anda untuk mengakses sumber daya AWS KMS terenkripsi lainnya, seperti objek Amazon S3 atau tabel Dynamo DB. Operasi ini dilakukan dengan menggunakan kredensil peran EC2 instans Amazon, atau kredenal lain AWS yang telah Anda konfigurasikan pada instans Anda.

Peran khusus identitas tunduk pada kebijakan kontrol layanan (SCPs), dan KMS kebijakan utama. Jika KMS kunci SCP atau menolak akses peran hanya identitas ke KMS kunci, Anda mungkin gagal meluncurkan EC2 instance dengan volume terenkripsi, atau menggunakan enkripsi atau snapshot. AMIs

Jika Anda membuat kebijakan SCP atau kunci yang menolak akses berdasarkan lokasi jaringan menggunakan kunci kondisiaws:SourceIp, aws:VpcSourceIpaws:SourceVpc, atau aws:SourceVpce AWS global, Anda harus memastikan bahwa pernyataan kebijakan ini tidak berlaku untuk peran khusus instance. Untuk contoh kebijakan, lihat Contoh Kebijakan Perimeter Data.

Peran khusus identitas ARNs menggunakan format berikut:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

Ketika pemberian kunci diberikan kepada sebuah instans, pemberian kunci tersebut dikeluarkan untuk sesi peran yang diasumsikan khusus untuk instans tersebut. Kepala penerima hibah ARN menggunakan format berikut:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id