Crittografia Amazon EBS - Amazon EBS
Come funziona la crittografia EBSCrittografia delle risorse EBSAWS KMS Tasti rotanti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia Amazon EBS

Utilizza Crittografia Amazon EBS come soluzione di crittografia diretta per le risorse EBS associate alle istanze EC2. Con Amazon EBS, non è necessario creare, mantenere e proteggere l'infrastruttura di gestione delle chiavi. La crittografia di Amazon EBS utilizza AWS KMS keys per la creazione di volumi e snapshot crittografati.

Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, garantendo la sicurezza di entrambe data-at-rest e data-in-transit tra un'istanza e lo storage EBS collegato.

A un'istanza possono essere collegati contemporaneamente sia volumi crittografati che non crittografati.

Indice

Come funziona la crittografia EBS

Puoi crittografare entrambi i volumi di avvio e di dati di un'istanza EC2.

Quando crei un volume EBS crittografato e lo colleghi a un tipo di istanza supportato, vengono crittografati i seguenti tipi di dati:

  • Dati inattivi all'interno del volume.

  • Tutti i dati in movimento tra il volume e l'istanza.

  • Tutti gli snapshot creati dal volume

  • Tutti i volumi creati da quegli snapshot

Amazon EBS effettua la crittografia del volume con una chiave di dati che utilizza la crittografia dei dati AES-256 standard del settore. La chiave dati viene generata AWS KMS e quindi crittografata AWS KMS con la AWS KMS chiave dell'utente prima di essere archiviata con le informazioni sul volume. Tutte le istantanee e tutti i volumi successivi creati a partire da tali istantanee utilizzando la stessa AWS KMS chiave condividono la stessa chiave di dati. Per ulteriori informazioni, consulta Chiavi dati nella Guida per gli sviluppatori di AWS Key Management Service .

Amazon EC2 consente di AWS KMS crittografare e decrittografare i volumi EBS in modi leggermente diversi a seconda che lo snapshot da cui si crea un volume crittografato sia crittografato o meno.

Funzionamento della crittografia EBS quando lo snapshot è crittografato

Quando crei un volume crittografato da uno snapshot crittografato di tua proprietà, Amazon EC2 utilizza per crittografare e decrittografare AWS KMS i tuoi volumi EBS nel modo seguente:

  1. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.

  2. Se il volume è crittografato utilizzando la stessa chiave KMS dell'istantanea, AWS KMS utilizza la stessa chiave dati dell'istantanea e la cripta con la stessa chiave KMS. Se il volume è crittografato utilizzando una chiave KMS diversa, AWS KMS genera una nuova chiave dati e la crittografa con la chiave KMS specificata. La chiave di dati crittografata viene inviata ad Amazon EBS per l'archiviazione con i metadati del volume.

  3. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS in modo che possa decrittografare la chiave dati.

  4. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.

  5. Amazon EC2 usa la chiave dei dati sotto forma di testo in chiaro nella memoria dell'hypervisor per crittografare l'I/O su disco verso il volume EBS. La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza.

Funzionamento della crittografia EBS quando lo snapshot non è crittografato

Quando si crea un volume crittografato da uno snapshot non crittografato, Amazon EC2 utilizza AWS KMS per crittografare e decrittare i volumi EBS come segue:

  1. Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa crittografare il volume creato dallo snapshot.

  2. Amazon EC2 invia una GenerateDataKeyWithoutPlaintextrichiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.

  3. AWS KMS genera una nuova chiave dati, la crittografa con la chiave KMS scelta per la crittografia del volume e invia la chiave dati crittografata ad Amazon EBS per essere archiviata con i metadati del volume.

  4. Amazon EC2 invia una richiesta Decrypt per ottenere la chiave di crittografia AWS KMS per crittografare i dati del volume.

  5. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una CreateGrantrichiesta a AWS KMS, in modo che possa decrittografare la chiave dati.

  6. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una richiesta Decrypt a AWS KMS, specificando la chiave dei dati crittografati.

  7. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.

  8. Amazon EC2 usa la chiave dei dati sotto forma di testo in chiaro nella memoria dell'hypervisor per crittografare l'I/O su disco verso il volume EBS. La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza..

Per ulteriori informazioni, consulta Come Amazon Elastic Block Store (Amazon EBS) utilizza AWS KMS ed Esempio due Amazon EC2 nella Guida per gli sviluppatori di AWS Key Management Service .

In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati

Quando una chiave KMS diventa inutilizzabile, l'effetto è quasi immediato (in base alla coerenza finale). Lo stato della chiave KMS si modifica per riflettere la nuova condizione e tutte le richieste di utilizzo della chiave KMS nelle operazioni di crittografia hanno esito negativo.

Quando si esegue un'operazione che rende la chiave KMS inutilizzabile, non vi è alcun effetto immediato sull'istanza EC2 o sui volumi EBS collegati. Amazon EC2 utilizza la chiave dati, non la chiave KMS, per crittografare tutti gli I/O del disco fintantoché il volume è collegato all'istanza.

Tuttavia, quando il volume EBS crittografato è scollegato dall'istanza EC2, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il volume EBS crittografato viene collegato a un'istanza EC2, il collegamento ha esito negativo, poiché Amazon EBS non è in grado di utilizzare la chiave KMS per decrittare la chiave di dati crittografati del volume. Per utilizzare di nuovo il volume EBS, devi rendere utilizzabile la chiave KMS.

Suggerimento

Se non desideri più accedere ai dati archiviati in un volume EBS crittografato con una chiave dati generata da una chiave KMS che intendi rendere inutilizzabile, consigliamo di scollegare il volume EBS dall'istanza EC2 prima di rendere la chiave KMS inutilizzabile.

Per ulteriori informazioni, consulta In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati nella Guida per gli sviluppatori di AWS Key Management Service .

Crittografia delle risorse EBS

È possibile crittografare i volumi EBS abilitando la crittografia, utilizzando la crittografia per impostazione predefinita o abilitando la crittografia al momento della creazione di un volume che si desidera crittografare.

Quando esegui la crittografia di un volume, puoi specificare la chiave KMS simmetrica da usare per crittografare il volume. Se non è specificata alcuna Chiave KMS, la Chiave KMS che viene utilizzata per la crittografia dipende dallo stato di crittografia dello snapshot di origine e dalla sua proprietà. Per ulteriori informazioni, consulta la tabella dei risultati di crittografia.

Nota

Se stai utilizzando l'API o AWS CLI per specificare una chiave KMS, tieni presente che AWS autentica la chiave KMS in modo asincrono. Se si specifica un ID Chiave KMS, un alias o un ARN non valido, l'azione sembra essere completata, ma alla fine ha esito negativo.

Non è possibile modificare la chiave Chiave KMS associata a un volume o a uno snapshot esistenti. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.

Crittografia di un volume vuoto in fase di creazione

Quando si crea un nuovo volume EBS vuoto, è possibile crittografarlo abilitando la crittografia per la specifica operazione di creazione del volume. Se per impostazione predefinita è stata abilitata la crittografia EBS, il volume viene crittografato automaticamente utilizzando la Chiave KMS predefinita per la crittografia EBS. In alternativa puoi specificare una chiave KMS simmetrica diversa per l'operazione di creazione del volume specifica. Il volume viene crittografato dal momento in cui è disponibile per la prima volta, in modo che i dati siano sempre protetti. Per le procedure dettagliate, consulta Creazione di un volume Amazon EBS.

Per impostazione predefinita, la Chiave KMS selezionata durante la creazione del volume viene utilizzata per eseguire la crittografia degli snapshot creati a partire dallo stesso volume e dei volumi ripristinati da tali snapshot. Non puoi rimuovere la crittografia da un volume o snapshot crittografato. Questo significa che un volume ripristinato da uno snapshot crittografato o una copia di uno snapshot crittografato è sempre crittografato.

Gli snapshot pubblici dei volumi crittografati non sono supportati, ma è possibile condividere uno snapshot crittografato con account specifici. Per istruzioni dettagliate, consulta Condivisione di uno snapshot Amazon EBS.

Crittografia delle risorse non crittografate

Non è possibile crittografare direttamente volumi o snapshot non crittografati esistenti. Tuttavia, puoi creare volumi o snapshot crittografati da volumi o snapshot non crittografati. Se la crittografia è abilitata per impostazione predefinita, Amazon EBS esegue automaticamente la crittografia dei nuovi volumi e snapshot utilizzando la chiave KMS predefinita per la crittografia su EBS. In caso contrario, puoi abilitare la crittografia al momento della creazione di uno specifico volume o snapshot utilizzando la chiave KMS di default per la crittografia Amazon EBS o una chiave di crittografia simmetrica gestita dal cliente. Per ulteriori informazioni, consultare Creazione di un volume Amazon EBS e Copia di uno snapshot Amazon EBS.

Per crittografare la copia dello snapshot in un chiave gestita dal cliente, è necessario attivare la crittografia e specificare il Chiave KMS, come mostrato nella Copiare una snapshot non crittografata (crittografia predefinita non abilitata).

Importante

Amazon EBS non supporta le chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

Puoi anche applicare nuovi stati di crittografia durante l'avvio di un'istanza da un'AMI EBS-backed. Questo perché le AMI EBS-backed includono snapshot di volumi EBS che possono essere crittografati come descritto. Per ulteriori informazioni, consulta Utilizzare la crittografia con AMI supportate da EBS.

AWS KMS Tasti rotanti

Le best practice di crittografia scoraggiano il riutilizzo esteso delle chiavi di crittografia. Per creare nuovo materiale crittografico per le chiavi KMS, puoi creare una nuova chiave KM e quindi modificare le tue applicazioni o gli alias per utilizzare tale nuova chiave KMS. Oppure, puoi abilitare la rotazione della chiave automatica per una chiave KMS esistente.

Quando abiliti la rotazione automatica delle chiavi per una chiave KMS, AWS KMS genera nuovo materiale crittografico per la chiave KMS ogni anno. AWS KMS salva tutte le versioni precedenti del materiale crittografico in modo da poter decrittografare tutti i dati crittografati con quella chiave KMS. AWS KMS non elimina alcun materiale relativo alla chiave ruotata finché non elimini la chiave KMS.

Quando si utilizza una chiave KMS ruotata per crittografare i dati, AWS KMS utilizza il materiale chiave corrente. Quando si utilizza la chiave KMS ruotata per decrittografare i dati, AWS KMS utilizza la versione del materiale chiave utilizzato per crittografarli. Puoi utilizzare in modo sicuro una chiave KMS ruotata nelle applicazioni e nei servizi AWS senza modifiche al codice.

Nota

La rotazione automatica delle chiavi è supportata solo per le chiavi simmetriche gestite dal cliente con materiale chiave che crea. AWS KMS AWS KMS ruota automaticamente ogni anno. Chiavi gestite da AWS Non puoi abilitare o disabilitare la rotazione delle chiavi per le Chiavi gestite da AWS.

Per ulteriori informazioni, consulta Rotazione della chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service .