Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh EBS enkripsi Amazon
Saat Anda membuat sumber daya terenkripsi, EBS sumber daya tersebut dienkripsi oleh KMS kunci default akun Anda untuk EBS enkripsi kecuali Anda menentukan kunci terkelola pelanggan yang berbeda dalam parameter pembuatan volume atau pemetaan perangkat blok untuk instans atau. AMI
Contoh berikut ini menggambarkan cara mengelola status enkripsi volume dan snapshot Anda. Untuk daftar lengkap kasus enkripsi, lihat tabel hasil enkripsi.
Contoh
- Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
- Mengembalikan volume yang tidak terenkripsi (enkripsi secara default diaktifkan)
- Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
- Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
- Mengenkripsi ulang volume yang dienkripsi
- Mengenkripsi ulang snapshot yang dienkripsi
- Memigrasikan data antara volume terenkripsi dan tidak terenkripsi
- Hasil enkripsi
Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
Tanpa enkripsi yang diaktifkan secara default, volume yang dipulihkan dari snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi volume yang dihasilkan dengan mengatur Encrypted dan, secara opsional, KmsKeyId parameter. Diagram berikut menggambarkan prosesnya.
Jika Anda meninggalkan KmsKeyId parameter, volume yang dihasilkan dienkripsi menggunakan KMS kunci default Anda untuk EBS enkripsi. Anda harus menentukan ID KMS kunci untuk mengenkripsi volume ke KMS kunci yang berbeda.
Untuk informasi selengkapnya, lihat Buat EBS volume Amazon.
Mengembalikan volume yang tidak terenkripsi (enkripsi secara default diaktifkan)
Ketika Anda telah mengaktifkan enkripsi secara default, enkripsi wajib untuk volume yang dipulihkan dari snapshot yang tidak terenkripsi, dan tidak ada parameter enkripsi yang diperlukan untuk KMS kunci default Anda yang akan digunakan. Diagram berikut menunjukkan kasus default sederhana ini:
Jika Anda ingin mengenkripsi volume yang dipulihkan ke kunci enkripsi yang dikelola pelanggan simetris, Anda harus menyediakan Encrypted dan KmsKeyId parameter seperti ditunjukkan dalam Mengembalikan volume yang tidak terenkripsi (enkripsi secara default tidak diaktifkan).
Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
Tanpa enkripsi yang diaktifkan secara default, salinan snapshot yang tidak dienkripsi tidak akan dienkripsi secara default. Namun, Anda dapat mengenkripsi snapshot yang dihasilkan dengan mengatur parameter Encrypted dan, secara opsional, parameter KmsKeyId. Jika Anda menghilangkanKmsKeyId, snapshot yang dihasilkan dienkripsi oleh kunci default Anda. KMS Anda harus menentukan ID KMS kunci untuk mengenkripsi volume ke kunci KMS enkripsi simetris yang berbeda.
Diagram berikut menggambarkan proses.
Anda dapat mengenkripsi EBS volume dengan menyalin snapshot yang tidak terenkripsi ke snapshot terenkripsi dan kemudian membuat volume dari snapshot terenkripsi. Untuk informasi selengkapnya, lihat Salin EBS snapshot Amazon.
Menyalin snapshot yang tidak terenkripsi (enkripsi secara default tidak diaktifkan)
Ketika Anda telah mengaktifkan enkripsi secara default, enkripsi wajib untuk salinan snapshot yang tidak terenkripsi, dan tidak ada parameter enkripsi yang diperlukan jika kunci default KMS Anda digunakan. Diagram berikut menggambarkan kasus default ini:
Mengenkripsi ulang volume yang dienkripsi
Saat CreateVolume tindakan beroperasi pada snapshot terenkripsi, Anda memiliki opsi untuk mengenkripsi ulang dengan kunci yang berbeda. KMS Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua KMS kunci, KMS kunci A dan KMS kunci B. Snapshot sumber dienkripsi oleh KMS kunci A. Selama pembuatan volume, dengan ID KMS KMS kunci B ditentukan sebagai parameter, data sumber secara otomatis didekripsi, kemudian dienkripsi ulang dengan kunci B. KMS
Untuk informasi selengkapnya, lihat Buat EBS volume Amazon.
Mengenkripsi ulang snapshot yang dienkripsi
Kemampuan untuk mengenkripsi snapshot selama penyalinan memungkinkan Anda menerapkan KMS kunci enkripsi simetris baru ke snapshot yang sudah dienkripsi yang Anda miliki. Volume yang dipulihkan dari salinan yang dihasilkan hanya dapat diakses menggunakan KMS kunci baru. Diagram berikut menggambarkan prosesnya. Dalam contoh ini, Anda memiliki dua KMS kunci, KMS kunci A dan KMS kunci B. Snapshot sumber dienkripsi oleh KMS kunci A. Selama penyalinan, dengan ID KMS KMS kunci B ditentukan sebagai parameter, data sumber secara otomatis dienkripsi ulang oleh kunci B. KMS
Dalam skenario terkait, Anda dapat memilih untuk menerapkan parameter enkripsi baru ke salinan snapshot yang telah dibagikan dengan Anda. Secara default, salinan dienkripsi dengan KMS kunci yang dibagikan oleh pemilik snapshot. Namun, kami menyarankan Anda membuat salinan snapshot bersama menggunakan KMS kunci berbeda yang Anda kontrol. Ini melindungi akses Anda ke volume jika KMS kunci asli dikompromikan, atau jika pemilik mencabut KMS kunci karena alasan apa pun. Untuk informasi selengkapnya, lihat Enkripsi dan penyalinan snapshot.
Memigrasikan data antara volume terenkripsi dan tidak terenkripsi
Saat Anda memiliki akses ke volume terenkripsi dan tidak terenkripsi, Anda dapat dengan bebas mentransfer data di antara keduanya. EC2melakukan operasi enkripsi dan dekripsi secara transparan.
Misalnya, gunakan perintah rsync untuk menyalin data. Dalam perintah berikut, data sumber terletak di /mnt/source dan volume tujuan dipasang pada /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Misalnya, gunakan perintah robocopy untuk menyalin data. Dalam perintah berikut, data sumber terletak di D:\ dan volume tujuan dipasang pada E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Kami menyarankan untuk menyalin dari folder, daripada seluruh volume, untuk menghindari potensi masalah dari folder tersembunyi.
Hasil enkripsi
Tabel berikut menjelaskan hasil enkripsi untuk setiap kombinasi pengaturan yang memungkinkan.
| Apakah enkripsi diaktifkan? | Apakah enkripsi secara default diaktifkan? | Sumber volume | Default (tidak ada kunci dikelola pelanggan yang ditentukan) | Kustom (kunci dikelola pelanggan ditentukan) |
|---|---|---|---|---|
| Tidak | Tidak | Volume (kosong) baru | Tidak terenkripsi | T/A |
| Tidak | Tidak | Snapshot tidak terenkripsi yang Anda miliki | Tidak terenkripsi | |
| Tidak | Tidak | Snapshot terenkripsi yang Anda miliki | Dienkripsi dengan kunci yang sama | |
| Tidak | Tidak | Snapshot yang tidak terenkripsi yang dibagikan dengan Anda | Tidak terenkripsi | |
| Tidak | Tidak | Snapshot terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan* | |
| Ya | Tidak | Volume baru | Dienkripsi secara default dengan kunci yang dikelola pelanggan | Dienkripsi oleh kunci yang dikelola pelanggan yang ditentukan** |
| Ya | Tidak | Snapshot tidak terenkripsi yang Anda miliki | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Ya | Tidak | Snapshot terenkripsi yang Anda miliki | Dienkripsi dengan kunci yang sama | |
| Ya | Tidak | Snapshot yang tidak terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Ya | Tidak | Snapshot terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Tidak | Ya | Volume (kosong) baru | Dienkripsi secara default dengan kunci yang dikelola pelanggan | T/A |
| Tidak | Ya | Snapshot tidak terenkripsi yang Anda miliki | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Tidak | Ya | Snapshot terenkripsi yang Anda miliki | Dienkripsi dengan kunci yang sama | |
| Tidak | Ya | Snapshot yang tidak terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Tidak | Ya | Snapshot terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Ya | Ya | Volume baru | Dienkripsi secara default dengan kunci yang dikelola pelanggan | Dienkripsi oleh kunci yang dikelola pelanggan yang ditentukan |
| Ya | Ya | Snapshot tidak terenkripsi yang Anda miliki | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Ya | Ya | Snapshot terenkripsi yang Anda miliki | Dienkripsi dengan kunci yang sama | |
| Ya | Ya | Snapshot yang tidak terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan | |
| Ya | Ya | Snapshot terenkripsi yang dibagikan dengan Anda | Dienkripsi secara default dengan kunci yang dikelola pelanggan |
* Ini adalah kunci terkelola pelanggan default yang digunakan untuk EBS enkripsi untuk AWS akun dan Wilayah. Secara default ini adalah unik Kunci yang dikelola AWS untukEBS, atau Anda dapat menentukan kunci yang dikelola pelanggan.
** Ini adalah kunci yang dikelola pelanggan yang ditentukan untuk volume saat waktu peluncuran. Kunci yang dikelola pelanggan ini digunakan sebagai pengganti kunci terkelola pelanggan default untuk AWS akun dan Wilayah.
