Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Persyaratan untuk EBS enkripsi Amazon
Sebelum memulai, verifikasi bahwa persyaratan berikut dipenuhi.
Persyaratan
Tipe volume yang mendukung
Enkripsi didukung oleh semua jenis EBS volume. Anda dapat mengharapkan IOPS kinerja yang sama pada volume terenkripsi seperti pada volume yang tidak terenkripsi, dengan efek minimal pada latensi. Anda dapat mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume yang tidak terenkripsi. Enkripsi dan dekripsi ditangani secara transparan, dan tidak memerlukan tindakan tambahan dari Anda atau aplikasi Anda.
Jenis instans yang didukung
EBSEnkripsi Amazon tersedia di semua jenis instans generasi saat ini dan generasi sebelumnya.
Izin untuk pengguna
Bila Anda menggunakan KMS kunci untuk EBS enkripsi, kebijakan KMS kunci memungkinkan setiap pengguna dengan akses ke AWS KMS tindakan yang diperlukan untuk menggunakan KMS kunci ini untuk mengenkripsi atau mendekripsi EBS sumber daya. Anda harus memberikan izin kepada pengguna untuk memanggil tindakan berikut untuk menggunakan EBS enkripsi:
-
kms:CreateGrant
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKeyWithoutPlainText
-
kms:ReEncrypt
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant
. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource
kondisi untuk memungkinkan pengguna membuat hibah pada KMS kunci hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Untuk informasi selengkapnya, lihat Mengizinkan akses ke AWS akun dan mengaktifkan IAM kebijakan di bagian Kebijakan kunci default di Panduan AWS Key Management Service Pengembang.
Izin untuk instans
Saat instance mencoba berinteraksi dengan terenkripsiAMI, volume, atau snapshot, hibah KMS kunci dikeluarkan untuk peran hanya identitas instans. Peran hanya identitas adalah peran yang IAM digunakan oleh instans untuk berinteraksi dengan terenkripsiAMIs, volume, atau snapshot atas nama Anda.
Peran khusus identitas tidak perlu dibuat atau dihapus secara manual, dan tidak memiliki kebijakan yang terkait dengannya. Selain itu, Anda tidak dapat mengakses kredensial peran khusus identitas.
catatan
Peran khusus identitas tidak digunakan oleh aplikasi pada instans Anda untuk mengakses sumber daya AWS KMS terenkripsi lainnya, seperti objek Amazon S3 atau tabel Dynamo DB. Operasi ini dilakukan dengan menggunakan kredensil peran EC2 instans Amazon, atau kredenal lain AWS yang telah Anda konfigurasikan pada instans Anda.
Peran khusus identitas tunduk pada kebijakan kontrol layanan (SCPs), dan KMS kebijakan utama. Jika KMS kunci SCP atau menolak akses peran hanya identitas ke KMS kunci, Anda mungkin gagal meluncurkan EC2 instance dengan volume terenkripsi, atau menggunakan enkripsi atau snapshot. AMIs
Jika Anda membuat kebijakan SCP atau kunci yang menolak akses berdasarkan lokasi jaringan menggunakan kunci kondisiaws:SourceIp
, aws:VpcSourceIp
aws:SourceVpc
, atau aws:SourceVpce
AWS global, Anda harus memastikan bahwa pernyataan kebijakan ini tidak berlaku untuk peran khusus instance. Untuk contoh kebijakan, lihat Contoh Kebijakan Perimeter Data
Peran khusus identitas ARNs menggunakan format berikut:
arn:
aws-partition
:iam::account_id
:role/aws:ec2-infrastructure/instance_id
Ketika pemberian kunci diberikan kepada sebuah instans, pemberian kunci tersebut dikeluarkan untuk sesi peran yang diasumsikan khusus untuk instans tersebut. Kepala penerima hibah ARN menggunakan format berikut:
arn:
aws-partition
:sts::account_id
:assumed-role/aws:ec2-infrastructure/instance_id