Enkripsi volume Amazon EBS

Amazon EBS menawarkan kemampuan enkripsi volume. Setiap volume dienkripsi menggunakan AES-256-XTS. Ini memerlukan dua kunci volume 256-bit, yang dapat Anda anggap sebagai satu kunci volume 512-bit. Tombol volume dienkripsi di bawah kunci KMS di akun Anda. Agar Amazon EBS mengenkripsi volume untuk Anda, ia harus memiliki akses untuk menghasilkan tombol volume (VK) di bawah kunci KMS di akun. Anda melakukan ini dengan memberikan hibah untuk Amazon EBS ke kunci KMS untuk membuat kunci data dan mengenkripsi dan mendekripsi kunci volume ini. Sekarang Amazon EBS menggunakan AWS KMS dengan kunci KMS untuk menghasilkan kunci volume AWS KMS terenkripsi.

Alur kerja berikut mengenkripsi data yang sedang ditulis ke volume Amazon EBS:

1. Amazon EBS memperoleh kunci volume terenkripsi di bawah kunci KMS AWS KMS melalui sesi TLS dan menyimpan kunci terenkripsi dengan metadata volume.

2. Ketika volume Amazon EBS terpasang, kunci volume terenkripsi akan diambil.

3. Panggilan ke AWS KMS over TLS dibuat untuk mendekripsi kunci volume terenkripsi. AWS KMS mengidentifikasi kunci KMS dan membuat permintaan internal ke HSM di armada untuk mendekripsi kunci volume terenkripsi. AWS KMS kemudian mengembalikan tombol volume kembali ke host Amazon Elastic Compute Cloud (Amazon EC2) yang berisi instance Anda selama sesi TLS.

4. Tombol volume digunakan untuk mengenkripsi dan mendekripsi semua data yang masuk ke dan dari volume Amazon EBS yang dipasang. Amazon EBS mempertahankan kunci volume terenkripsi untuk digunakan nanti jika tombol volume dalam memori tidak lagi tersedia.

Untuk informasi selengkapnya tentang mengenkripsi volume Amazon EBS dengan kunci KMS, lihat Cara Amazon Elastic Block Store menggunakan AWS KMS dalam AWS Key Management Service Panduan Pengembang danenkripsi Amazon EBS di EC2 Panduan Pengguna Amazon dan Panduan Pengguna Amazon. EC2