Lavora con la crittografia Amazon EBS

Utilizza le seguenti procedure per utilizzare la crittografia Amazon EBS.

Seleziona una chiave KMS per la crittografia EBS

Amazon EBS ne crea automaticamente uno unico Chiave gestita da AWS in ogni regione in cui vengono archiviate AWS le risorse. Questa Chiave KMS ha l'alias alias/aws/ebs. Per impostazione predefinita, Amazon EBS utilizza questa Chiave KMS per la crittografia. In alternativa, è possibile specificare una chiave di crittografia simmetrica gestita dal cliente creata come Chiave KMS di default per la crittografia EBS. L'utilizzo di una propria Chiave KMS offre una maggiore flessibilità che include la possibilità di creare, ruotare e disabilitare Chiavi KMS.

Importante

Amazon EBS non supporta le chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

Amazon EC2 console

Per configurare la Chiave KMS predefinita per la crittografia su EBS per una regione

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Dalla barra di navigazione, selezionare la regione.

3. Nel riquadro di navigazione selezionare EC2 Dashboard (Pannello di controllo EC2).

4. Nell'angolo in alto a destra della pagina, scegli Attributi dell'account, Zone.

5. Scegli Gestisci.

6. Per Chiave di crittografia predefinita, scegli una chiave di crittografia simmetrica gestita dal cliente.

7. Scegli Update EBS encryption (Aggiorna la crittografia EBS).

Abilita la crittografia per impostazione predefinita

Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi volumi EBS e delle copie istantanee che crei. Ad esempio, Amazon EBS esegue la crittografia dei volumi EBS creati all'avvio di un'istanza e delle snapshot copiate a partire da uno snapshot non crittografato. Per esempi di transizione da risorse EBS non crittografate a crittografate, consulta Crittografia delle risorse non crittografate.

La crittografia per impostazione predefinita non ha alcun effetto sui volumi EBS o sugli snapshot esistenti.

Considerazioni

• La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.

• La crittografia Amazon EBS per impostazione predefinita è supportata su tutti i tipi di istanze di generazione attuale e precedente.

• Se si copia uno snapshot e lo si crittografa in una nuova chiave KMS, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.

• Quando esegui la migrazione dei server tramite AWS Server Migration Service (SMS), non attivare la crittografia per impostazione predefinita. Se la crittografia per impostazione predefinita è già attiva e rilevi errori di replica delta, disattivala. Abilita invece la crittografia AMI quando crei il processo di replica.

Amazon EC2 console

Per abilitare la crittografia predefinita per una regione

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Dalla barra di navigazione, selezionare la regione.

3. Nel riquadro di navigazione selezionare EC2 Dashboard (Pannello di controllo EC2).

4. Nell'angolo in alto a destra della pagina, scegli Attributi dell'account, Zone.

5. Scegliere Gestisci.

6. Selezionare Enable (Abilita). Mantieni Chiave gestita da AWS l'alias alias/aws/ebs creato per tuo conto come chiave di crittografia predefinita oppure scegli una chiave di crittografia simmetrica gestita dal cliente.

7. Scegli Update EBS encryption (Aggiorna la crittografia EBS).

AWS CLI

Per visualizzare l'impostazione della crittografia predefinita

• Per una regione specifica

  $ aws ec2 get-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Per abilitare la crittografia predefinita

• Per una regione specifica

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Per disabilitare la crittografia predefinita

• Per una regione specifica

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

PowerShell

Per visualizzare l'impostazione della crittografia predefinita

• Per una regione specifica

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Per abilitare la crittografia predefinita

• Per una regione specifica

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Per disabilitare la crittografia predefinita

• Per una regione specifica

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Non è possibile modificare la Chiave KMS associata a un volume crittografato o a uno snapshot esistente. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.

Gestisci la crittografia per impostazione predefinita utilizzando l'API e la CLI

Puoi gestire la crittografia predefinita e la Chiave KMS predefinita utilizzando le operazioni API e i comandi CLI riportati di seguito.

Operazione API	Comando CLI	Descrizione
DisableEbsEncryptionByDefault	disable-ebs-encryption-by-predefinito	Disabilita la crittografia predefinita.
EnableEbsEncryptionByDefault	enable-ebs-encryption-by-predefinito	Abilita la crittografia predefinita.
GetEbsDefaultKmsKeyId	get-ebs-default-kms-identificativo chiave	Descrive la Chiave KMS predefinita.
GetEbsEncryptionByDefault	get-ebs-encryption-by-predefinito	Indica se la crittografia predefinita è abilitata.
ModifyEbsDefaultKmsKeyId	modify-ebs-default-kms-identificativo chiave	Cambia la Chiave KMS predefinita utilizzata per crittografare volumi EBS.
ResetEbsDefaultKmsKeyId	reset-ebs-default-kms-identificativo chiave	Reimposta la Chiave gestita da AWS chiave KMS predefinita utilizzata per crittografare i volumi EBS.