Crittografa i volumi Amazon EBS che utilizza AWS Cloud9 - AWS Cloud9
Crittografia di un volume Amazon EBS esistente utilizzato da AWS Cloud9

AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio normalmente. Ulteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografa i volumi Amazon EBS che utilizza AWS Cloud9

Questo argomento mostra come crittografare i volumi Amazon EBS per le EC2 istanze utilizzate dagli ambienti di sviluppo. AWS Cloud9

La crittografia Amazon EBS crittografa i seguenti dati:

  • Dati a riposo all'interno del volume

  • Tutti i dati in transito tra il volume e l'istanza

  • Tutti gli snapshot creati dal volume

  • Tutti i volumi creati dagli snapshot

Sono disponibili due opzioni di crittografia per i volumi Amazon EBS utilizzati dagli ambienti di AWS Cloud9 EC2 sviluppo:

  • Crittografia per impostazione predefinita: è possibile configurare il proprio Account AWS affinché venga applicata la crittografia alle nuove copie di volumi e snapshot EBS create. La crittografia per impostazione predefinita è abilitata a livello di Regione AWS. Pertanto, non è possibile abilitarla per singoli volumi o snapshot nella regione. Inoltre, Amazon EBS esegue la crittografia del volume creato all'avvio dell'istanza e Pertanto, è necessario abilitare questa impostazione prima di creare un EC2 ambiente. Per ulteriori informazioni, consulta Encryption by default nella Amazon EC2 User Guide.

  • Crittografia di un volume Amazon EBS esistente utilizzato da un EC2 ambiente: puoi crittografare volumi Amazon EBS specifici che sono già stati creati per le istanze. EC2 Questa opzione prevede l'utilizzo di AWS Key Management Service (AWS KMS) per gestire l'accesso ai volumi crittografati. Per la procedura pertinente, consulta Crittografia di un volume Amazon EBS esistente utilizzato da AWS Cloud9.

Importante

Se il tuo AWS Cloud9 IDE utilizza volumi Amazon EBS crittografati per impostazione predefinita, il ruolo AWS Identity and Access Management collegato al servizio AWS Cloud9 richiede l'accesso a tali volumi EBS. AWS KMS key Se l'accesso non viene fornito, l' AWS Cloud9 IDE potrebbe non riuscire ad avviarsi e il debug potrebbe essere difficile.

Per fornire l'accesso, aggiungi il ruolo collegato al servizio per AWS Cloud9AWSServiceRoleForAWSCloud9, alla chiave KMS utilizzata dai tuoi volumi Amazon EBS. Per ulteriori informazioni su questa attività, consulta Creare un AWS Cloud9 IDE che utilizzi volumi Amazon EBS con crittografia predefinita in AWS Prescriptive Guidance Patterns.

Crittografia di un volume Amazon EBS esistente utilizzato da AWS Cloud9

La crittografia di un volume Amazon EBS esistente implica l'utilizzo AWS KMS per creare una chiave KMS. Dopo aver creato uno snapshot del volume da sostituire, utilizza la chiave KMS per crittografare una copia dello snapshot.

Successivamente, crea un volume crittografato con tale snapshot. Quindi, sostituisci il volume non crittografato scollegandolo dall' EC2 istanza e collegando il volume crittografato.

Infine, devi aggiornare la policy delle chiavi per la chiave gestita dal cliente per abilitare l'accesso per il ruolo di servizio AWS Cloud9 .

Nota

La procedura seguente è incentrata sull'utilizzo di una chiave gestita dal cliente per crittografare un volume. Puoi anche usare an Chiave gestita da AWS for an Servizio AWS nel tuo account. L'alias di Amazon EBS è aws/ebs. Se scegli questa opzione di default per la crittografia, ignora la fase 1 relativa alla creazione di una chiave gestita dal cliente. Ignora anche la fase 8 relativa all'aggiornamento della policy delle chiavi in quanto Questo perché non puoi modificare la politica chiave per un Chiave gestita da AWS.

Per crittografare un volume Amazon EBS esistente

  1. Nella AWS KMS console, crea una chiave KMS simmetrica. Per ulteriori informazioni, consulta Creazione di KMS simmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

  2. Nella EC2 console Amazon, interrompi l'istanza supportata da Amazon EBS utilizzata dall'ambiente. Puoi interrompere l'istanza utilizzando la console o la riga di comando.

  3. Nel pannello di navigazione della EC2 console Amazon, scegli Snapshot per creare un'istantanea del volume esistente che desideri crittografare.

  4. Nel pannello di navigazione della EC2 console Amazon, scegli Snapshot per copiare l'istantanea. Nella finestra di dialogo Copy snapshot (Copia snapshot), esegui le seguenti operazioni per abilitare la crittografia:

    • Scegli Encrypt this snapshot (Esegui la crittografia di questo snapshot).

    • Per Master Key (Chiave master), seleziona la chiave KMS creata precedentemente. (Se stai usando un Chiave gestita da AWS, mantieni l'impostazione aws/ebs (predefinita).)

  5. Crea un nuovo volume dallo snapshot crittografato.

    Nota

    I volumi Amazon EBS creati da snapshot crittografati vengono crittografati automaticamente.

  6. Scollega il vecchio volume Amazon EBS dall'istanza Amazon EC2 .

  7. Collega il nuovo volume crittografato all' EC2 istanza Amazon.

  8. Aggiorna la politica chiave per la chiave KMS utilizzando la visualizzazione AWS Management Console predefinita, la visualizzazione AWS Management Console delle politiche o AWS KMS l'API. Aggiungi le seguenti dichiarazioni politiche chiave per consentire al AWS Cloud9 servizio di accedere alla chiave KMS. AWSServiceRoleForAWSCloud9

    Nota

    Se stai usando un Chiave gestita da AWS, salta questo passaggio.

    {
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:{Partition}:iam::{AccountId}:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
   },
   {
    "Sid": "Allow attachment of persistent resources",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:{Partition}:iam::{AccountId}:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
    },
    "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
    ],
    "Resource": "*",
    "Condition": {
        "Bool": {
            "kms:GrantIsForAWSResource": "true"
        }
    }
}

  9. Riavvia l' EC2istanza Amazon. Per ulteriori informazioni sul riavvio di un' EC2 istanza Amazon, consulta Arresta e avvia l'istanza.