Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di crittografia Amazon EBS
Quando crei una risorsa EBS crittografata, questa viene crittografata usando la Chiave KMS predefinita dell'account per la crittografia su EBS, a meno che non venga specificata una chiave gestita dal cliente diversa nei parametri di creazione del volume o nella mappatura dei dispositivi a blocchi per l'AMI o l'istanza. Per ulteriori informazioni, consulta Seleziona una chiave KMS per la crittografia EBS.
I seguenti esempi illustrano come gestire lo stato di crittografia dei volumi e degli snapshot. Per un elenco completo dei casi di crittografia, consulta la tabella dei risultati di crittografia.
Esempi
- Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
- Ripristinare un volume non crittografato (crittografia predefinita abilitata)
- Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
- Copiare una snapshot non crittografata (crittografia predefinita abilitata)
- Nuova crittografia di un volume crittografato
- Nuova crittografia di uno snapshot crittografato
- Migrazione dei dati tra volumi crittografati e non crittografati
- Risultati della crittografia
Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, un volume ripristinato da uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare il volume risultante impostando il parametro Encrypted e, facoltativamente, il parametro KmsKeyId. Il diagramma seguente illustra il processo.
Se si omette il parametro KmsKeyId, il volume risultante viene crittografato utilizzando la Chiave KMS predefinita per la crittografia di EBS. Specificare un ID Chiave KMS per crittografare il volume su un Chiave KMS differente.
Per ulteriori informazioni, consulta Creazione di un volume da uno snapshot.
Ripristinare un volume non crittografato (crittografia predefinita abilitata)
Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per volumi ripristinati da snapshot non crittografati e non sono richiesti parametri di crittografia per utilizzare la Chiave KMS predefinita. Il seguente diagramma mostra questo semplice caso predefinito:
Se desideri crittografare il volume ripristinato in una chiave di crittografia simmetrica gestita dal cliente, devi fornire entrambi i parametri Encrypted e KmsKeyId come riportato in Ripristinare un volume non crittografato (crittografia predefinita non abilitata).
Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, una copia di uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare lo snapshot risultante impostando il parametro Encrypted e, facoltativamente, il parametro KmsKeyId. Se si omette KmsKeyId, lo snapshot risultante viene crittografato dalla Chiave KMS predefinita. È necessario specificare un ID della chiave KMS per crittografare il volume su una chiave KMS simmetrica differente.
Il diagramma seguente illustra il processo.
È possibile crittografare un volume EBS copiando uno snapshot non previsto in uno snapshot crittografato, quindi creando un volume dallo snapshot crittografato. Per ulteriori informazioni, consulta Copia di uno snapshot Amazon EBS.
Copiare una snapshot non crittografata (crittografia predefinita abilitata)
Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per copie di snapshot non crittografati e non sono richiesti parametri di crittografia se si utilizza la Chiave KMS predefinita. Nel seguente diagramma viene illustrato questo caso predefinito:
Nuova crittografia di un volume crittografato
Quando si esegue l'operazione CreateVolume su uno snapshot crittografato, è possibile crittografarlo nuovamente con un'altra Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A e Chiave KMS B, Lo snapshot di origine è crittografato da Chiave KMS A. Durante la creazione del volume, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente decrittografati e quindi nuovamente crittografati usando la Chiave KMS B.
Per ulteriori informazioni, consulta Creazione di un volume da uno snapshot.
Nuova crittografia di uno snapshot crittografato
La possibilità di crittografare uno snapshot durante la copia ti consente di applicare una nuova chiave KMS simmetrica a uno snapshot già crittografato di cui sei proprietario. I volumi ripristinati dalla copia risultante sono accessibili solo utilizzando la nuova Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A and Chiave KMS B. Lo snapshot di origine è crittografato con la Chiave KMS A. Durante la copia, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente ri-crittografati usando la Chiave KMS B.
In uno scenario correlato, puoi scegliere di applicare nuovi parametri di crittografia a una copia di uno snapshot che è stato condiviso con te. Per impostazione predefinita, la copia è crittografata con una Chiave KMS condivisa dal proprietario dello snapshot. Tuttavia, ti consigliamo di creare una copia della snapshot condivisa utilizzando una Chiave KMS diversa che controlli. Questo protegge il tuo accesso al volume se la Chiave KMS originale è compromessa o se il proprietario revoca la Chiave KMS per qualsiasi motivo. Per ulteriori informazioni, consulta Crittografia e copia di snapshot.
Migrazione dei dati tra volumi crittografati e non crittografati
Quando hai accesso sia a un volume crittografato sia a uno non crittografato, puoi trasferire liberamente i dati tra loro. EC2 esegue in modo trasparente le operazioni di crittografia e decrittografia.
Ad esempio il comando rsync consente di copiare i dati. Nel comando seguente i dati di origine si trovano in /mnt/source e il volume di destinazione è montato su /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Ad esempio il comando robocopy consente di copiare i dati. Nel comando seguente i dati di origine si trovano in D:\ e il volume di destinazione è montato su E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
Consigliamo di utilizzare le cartelle anziché copiare un intero volume per evitare potenziali problemi con le cartelle nascoste.
Risultati della crittografia
La seguente tabella descrive il risultato della crittografia per ogni possibile combinazione di impostazioni.
| La crittografia EBS è abilitata? | La crittografia predefinita è abilitata? | Fonte del volume | Impostazione predefinita (nessuna chiave gestita dal cliente specificata) | Personalizzato (chiave gestita dal cliente specificata) |
|---|---|---|---|---|
| No | No | Nuovo volume (vuoto) | Non crittografato | N/A |
| No | No | Snapshot non crittografato di tua proprietà | Non crittografato | |
| No | No | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| No | No | Snapshot non crittografato condiviso con te | Non crittografato | |
| No | No | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita* | |
| Sì | No | Nuovo volume | Crittografato con chiave gestita dal cliente predefinita | Crittografato con una chiave gestita dal cliente specificata** |
| Sì | No | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | No | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| Sì | No | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | No | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Nuovo volume (vuoto) | Crittografato con chiave gestita dal cliente predefinita | N/A |
| No | Sì | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| No | Sì | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| No | Sì | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Nuovo volume | Crittografato con chiave gestita dal cliente predefinita | Crittografato con una chiave gestita dal cliente specificata |
| Sì | Sì | Snapshot non crittografato di tua proprietà | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Snapshot crittografato di tua proprietà | Crittografato dalla stessa chiave | |
| Sì | Sì | Snapshot non crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita | |
| Sì | Sì | Snapshot crittografato condiviso con te | Crittografato con chiave gestita dal cliente predefinita |
* Questa è la chiave gestita dal cliente predefinita utilizzata per la crittografia EBS per l'account e la AWS regione. Per impostazione predefinita, è univoca Chiave gestita da AWS per EBS, oppure puoi specificare una chiave gestita dal cliente. Per ulteriori informazioni, consulta Seleziona una chiave KMS per la crittografia EBS.
** Si tratta di una chiave gestita dal cliente specificata per il volume al momento dell'avvio. Questa chiave gestita dal cliente viene utilizzata al posto della chiave gestita dal cliente predefinita per l' AWS account e la regione.
