Enkripsi EBS Amazon - Amazon EBS
Cara kerja enkripsi EBSEnkripsi sumber daya EBSTombol berputar AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi EBS Amazon

Gunakan enkripsi Amazon EBS sebagai solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans EC2 Anda. Gunakan enkripsi Amazon EBS, dan Anda tidak perlu membangun, memelihara, atau mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi Amazon EBS menggunakan AWS KMS keys saat membuat volume dan snapshot yang terenkripsi.

Operasi enkripsi terjadi pada server yang meng-host instans EC2, memastikan keamanan keduanya data-at-rest dan data-in-transit antara instance dan penyimpanan EBS terlampirnya.

Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan.

Daftar Isi

Cara kerja enkripsi EBS

Anda dapat mengenkripsi volume boot dan data dari instans EC2.

Saat Anda membuat volume EBS terenkripsi dan melampirkannya ke tipe instans yang didukung, tipe data berikut dienkripsi:

  • Data diam di dalam volume

  • Semua data yang bergerak antara volume dan instans

  • Semua snapshot yang dibuat dari volume

  • Semua volume yang dibuat dari snapshot tersebut

Amazon EBS mengenkripsi volume Anda dengan kunci data menggunakan enkripsi data AES-256 standar industri. Kunci data dihasilkan oleh AWS KMS dan kemudian dienkripsi AWS KMS dengan AWS KMS kunci Anda sebelum disimpan dengan informasi volume Anda. Semua snapshot, dan volume berikutnya yang dibuat dari snapshot tersebut menggunakan kunci yang sama berbagi AWS KMS kunci data yang sama. Untuk informasi selengkapnya, lihat Kunci data di Panduan Developer AWS Key Management Service .

Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda dengan cara yang sedikit berbeda tergantung pada apakah snapshot dari mana Anda membuat volume terenkripsi dienkripsi atau tidak dienkripsi.

Cara kerja enkripsi EBS saat snapshot dienkripsi

Saat Anda membuat volume terenkripsi dari snapshot terenkripsi yang Anda miliki, Amazon EC2 berfungsi AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  2. Jika volume dienkripsi menggunakan kunci KMS yang sama dengan snapshot, AWS KMS gunakan kunci data yang sama dengan snapshot dan mengenkripsinya di bawah kunci KMS yang sama. Jika volume dienkripsi menggunakan kunci KMS yang berbeda, AWS KMS buat kunci data baru dan enkripsi di bawah kunci KMS yang Anda tentukan. Kunci data terenkripsi dikirimkan ke Amazon EBS untuk disimpan dengan metadata volume.

  3. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan agar dapat AWS KMS mendekripsi kunci data.

  4. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  5. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi I/O disk ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Cara kerja enkripsi EBS saat snapshot yang tidak terenkripsi

Ketika Anda membuat volume terenkripsi dari snapshot yang tidak terenkripsi yang Anda miliki, Amazon EC2 bekerja dengan AWS KMS untuk mengenkripsi dan mendekripsi volume EBS Anda sebagai berikut:

  1. Amazon EC2 mengirimkan CreateGrantpermintaan ke AWS KMS, sehingga dapat mengenkripsi volume yang dibuat dari snapshot.

  2. Amazon EC2 mengirimkan GenerateDataKeyWithoutPlaintextpermintaan ke AWS KMS, menentukan kunci KMS yang Anda pilih untuk enkripsi volume.

  3. AWS KMS menghasilkan kunci data baru, mengenkripsinya di bawah kunci KMS yang Anda pilih untuk enkripsi volume, dan mengirimkan kunci data terenkripsi ke Amazon EBS untuk disimpan dengan metadata volume.

  4. Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS untuk mendekripsi kunci data terenkripsi, yang kemudian digunakan untuk mengenkripsi data volume.

  5. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan CreateGrantpermintaan AWS KMS ke, sehingga dapat mendekripsi kunci data.

  6. Saat Anda melampirkan volume terenkripsi ke instans, Amazon EC2 mengirimkan permintaan Dekripsi AWS KMS ke, yang menentukan kunci data terenkripsi.

  7. AWS KMS mendekripsi kunci data terenkripsi dan mengirimkan kunci data yang didekripsi ke Amazon EC2.

  8. Amazon EC2 menggunakan kunci data teks biasa di perangkat keras Nitro untuk mengenkripsi I/O disk ke volume. Kunci data teks biasa tetap ada di memori selama volumenya dilampirkan pada instans.

Untuk informasi selengkapnya, lihat Cara Amazon Elastic Block Store (Amazon EBS) menggunakan AWS KMS dan Contoh dua Amazon EC2 dalam Panduan Developer AWS Key Management Service .

Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data

Ketika kunci KMS menjadi tidak dapat digunakan, efeknya hampir seketika (tergantung pada konsistensi akhirnya). Status kunci dari perubahan kunci KMS untuk mencerminkan kondisi barunya, dan semua permintaan untuk menggunakan kunci KMS dalam operasi kriptografi gagal.

Saat Anda melakukan tindakan yang membuat kunci KMS tidak dapat digunakan, tidak akan ada efek langsung pada instans EC2 atau volume EBS yang dilampirkan. Amazon EC2 menggunakan kunci data, bukan kunci KMS, untuk mengenkripsi semua I/O disk saat volume dilampirkan ke instans.

Namun, saat volume EBS terenkripsi dicopot dari instans EC2, Amazon EBS menghapus kunci data dari perangkat keras Nitro. Pada saat volume EBS yang terenkripsi dilampirkan ke instans EC2, pelampiran akan gagal karena Amazon EBS tidak dapat menggunakan kunci KMS untuk mendekripsi kunci data terenkripsi dari volume tersebut. Untuk menggunakan volume EBS lagi, Anda harus membuat kunci KMS dapat digunakan lagi.

Tip

Jika Anda tidak lagi menginginkan akses ke data yang disimpan dalam volume EBS yang dienkripsi dengan kunci data yang dihasilkan dari kunci KMS yang ingin Anda buat agar tidak dapat digunakan, sebaiknya copot volume EBS dari instans EC2 sebelum Anda membuat kunci KMS tidak dapat digunakan.

Untuk informasi selengkapnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data di Panduan Developer AWS Key Management Service .

Enkripsi sumber daya EBS

Anda mengenkripsi volume EBS dengan mengaktifkan enkripsi, menggunakan enkripsi secara default atau dengan mengaktifkan enkripsi saat Anda membuat volume yang ingin Anda enkripsi.

Saat Anda mengenkripsi volume, Anda dapat menentukan kunci KMS enkripsi simetris untuk mengenkripsi volume. Jika Anda tidak menentukan kunci KMS, kunci KMS yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya. Untuk informasi selengkapnya, lihat tabel hasil enkripsi.

catatan

Jika Anda menggunakan API atau AWS CLI untuk menentukan kunci KMS, ketahuilah bahwa AWS mengautentikasi kunci KMS secara asinkron. Jika Anda menentukan ID kunci KMS, suatu alias, atau ARN yang tidak valid, tindakan dapat muncul untuk diselesaikan, tetapi akhirnya akan gagal.

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot atau volume yang ada. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

Enkripsi volume kosong pada saat pembuatan

Saat Anda membuat volume EBS baru yang kosong, Anda dapat mengenkripsinya dengan mengaktifkan enkripsi untuk operasi pembuatan volume tertentu. Jika Anda mengaktifkan enkripsi EBS secara default, volume akan dienkripsi secara otomatis menggunakan kunci KMS default untuk enkripsi EBS. Sebagai alternatif, Anda dapat menentukan kunci KMS enkripsi simetris yang berbeda untuk operasi pembuatan volume spesifik. Volume dienkripsi saat pertama kali tersedia, sehingga data Anda selalu aman. Untuk prosedur terperinci, lihat Buat volume Amazon EBS.

Secara default, kunci KMS yang Anda pilih saat membuat volume mengenkripsi snapshot yang Anda buat dari volume dan volume yang Anda pulihkan dari snapshot yang dienkripsi tersebut. Anda tidak dapat menghapus enkripsi dari volume atau snapshot terenkripsi, yang berarti bahwa volume yang dipulihkan dari snapshot terenkripsi, atau salinan snapshot terenkripsi, selalu dienkripsi.

Snapshot publik dari volume terenkripsi tidak didukung, tetapi Anda dapat berbagi snapshot terenkripsi dengan akun tertentu. Untuk petunjuk terperinci, lihat Membagikan snapshot Amazon EBS.

Mengenkripsi sumber daya yang tidak terenkripsi

Anda tidak dapat secara langsung mengenkripsi volume atau snapshot yang tidak terenkripsi. Namun, Anda dapat membuat volume atau snapshot terenkripsi dari volume atau snapshot yang tidak terenkripsi. Jika Anda mengaktifkan enkripsi secara default, Amazon EBS secara otomatis mengenkripsi volume dan snapshot baru menggunakan kunci KMS default Anda untuk enkripsi EBS. Jika tidak, Anda dapat mengaktifkan enkripsi saat membuat volume atau snapshot individual, menggunakan kunci KMS default untuk enkripsi Amazon EBS atau kunci enkripsi simetris yang dikelola pelanggan. Untuk informasi lebih lanjut, lihat Buat volume Amazon EBS dan Menyalin snapshot Amazon EBS.

Untuk mengenkripsi salinan snapshot ke kunci yang dikelola pelanggan, Anda harus mengaktifkan enkripsi dan menentukan kunci KMS, seperti yang ditunjukkan dalam Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan).

penting

Amazon EBS tidak mendukung kunci KMS enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci KMS enkripsi Simetris dan Asimetris di Panduan Developer AWS Key Management Service .

Anda juga dapat menerapkan status enkripsi baru saat meluncurkan instans dari AMI yang didukung EBS. Hal ini karena AMI yang didukung EBS menyertakan snapshot volume EBS yang dapat dienkripsi sebagaimana dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan enkripsi dengan AMI yang didukung EBS.

Tombol berputar AWS KMS

Praktik terbaik kriptografi mencegah penggunaan ulang kunci enkripsi secara ekstensif.

Untuk membuat materi kriptografi baru untuk digunakan dengan enkripsi Amazon EBS, Anda dapat membuat kunci terkelola pelanggan baru, dan kemudian mengubah aplikasi Anda untuk menggunakan kunci KMS baru itu. Atau, Anda dapat mengaktifkan rotasi kunci otomatis untuk kunci terkelola pelanggan yang ada.

Saat Anda mengaktifkan rotasi kunci otomatis untuk kunci yang dikelola pelanggan, AWS KMS hasilkan materi kriptografi baru untuk kunci KMS setiap tahun. AWS KMS menyimpan semua versi sebelumnya dari materi kriptografi sehingga Anda dapat terus mendekripsi dan menggunakan volume dan snapshot yang sebelumnya dienkripsi dengan materi kunci KMS tersebut. AWS KMS tidak menghapus materi kunci yang diputar sampai Anda menghapus kunci KMS.

Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mengenkripsi volume atau snapshot baru, AWS KMS gunakan materi kunci (baru) saat ini. Saat Anda menggunakan kunci terkelola pelanggan yang diputar untuk mendekripsi volume atau snapshot, AWS KMS gunakan versi materi kriptografi yang digunakan untuk mengenkripsi itu. Jika volume atau snapshot dienkripsi dengan versi sebelumnya dari materi kriptografi, AWS KMS terus gunakan versi sebelumnya untuk mendekripsi itu. AWS KMS tidak mengenkripsi ulang volume atau snapshot yang sebelumnya dienkripsi untuk menggunakan materi kriptografi baru setelah rotasi kunci. Mereka tetap dienkripsi dengan bahan kriptografi yang awalnya dienkripsi. Anda dapat dengan aman menggunakan kunci terkelola pelanggan yang diputar dalam aplikasi dan AWS layanan tanpa perubahan kode.

catatan

  • Rotasi kunci otomatis hanya didukung untuk kunci yang dikelola pelanggan simetris dengan materi utama yang AWS KMS dibuat.

  • AWS KMS secara otomatis berputar Kunci yang dikelola AWS setiap tahun. Anda tidak dapat mengaktifkan atau menonaktifkan rotasi kunci untuk Kunci yang dikelola AWS.

Untuk informasi selengkapnya, lihat Merotasi kunci KMS di Panduan Developer AWS Key Management Service .