Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Lavora con la crittografia Amazon EBS
Utilizza le seguenti procedure per utilizzare la crittografia Amazon EBS.
Attività
Seleziona una chiave KMS per la crittografia EBS
Amazon EBS ne crea automaticamente uno unico Chiave gestita da AWS in ogni regione in cui vengono archiviate AWS le risorse. Questa Chiave KMS ha l'alias alias/aws/ebs
. Per impostazione predefinita, Amazon EBS utilizza questa Chiave KMS per la crittografia. In alternativa, è possibile specificare una chiave di crittografia simmetrica gestita dal cliente creata come Chiave KMS di default per la crittografia EBS. L'utilizzo di una propria Chiave KMS offre una maggiore flessibilità che include la possibilità di creare, ruotare e disabilitare Chiavi KMS.
Importante
Amazon EBS non supporta le chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .
Abilita la crittografia per impostazione predefinita
Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi volumi EBS e delle copie istantanee che crei. Ad esempio, Amazon EBS esegue la crittografia dei volumi EBS creati all'avvio di un'istanza e delle snapshot copiate a partire da uno snapshot non crittografato. Per esempi di transizione da risorse EBS non crittografate a crittografate, consulta Crittografia delle risorse non crittografate.
La crittografia per impostazione predefinita non ha alcun effetto sui volumi EBS o sugli snapshot esistenti.
Considerazioni
-
La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.
-
La crittografia Amazon EBS per impostazione predefinita è supportata su tutti i tipi di istanze di generazione attuale e precedente.
-
Se si copia uno snapshot e lo si crittografa in una nuova chiave KMS, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.
-
Quando esegui la migrazione dei server tramite AWS Server Migration Service (SMS), non attivare la crittografia per impostazione predefinita. Se la crittografia per impostazione predefinita è già attiva e rilevi errori di replica delta, disattivala. Abilita invece la crittografia AMI quando crei il processo di replica.
Non è possibile modificare la Chiave KMS associata a un volume crittografato o a uno snapshot esistente. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.
Gestisci la crittografia per impostazione predefinita utilizzando l'API e la CLI
Puoi gestire la crittografia predefinita e la Chiave KMS predefinita utilizzando le operazioni API e i comandi CLI riportati di seguito.
Operazione API | Comando CLI | Descrizione |
---|---|---|
disable-ebs-encryption-by-predefinito |
Disabilita la crittografia predefinita. |
|
enable-ebs-encryption-by-predefinito |
Abilita la crittografia predefinita. |
|
get-ebs-default-kms-identificativo chiave |
Descrive la Chiave KMS predefinita. |
|
get-ebs-encryption-by-predefinito |
Indica se la crittografia predefinita è abilitata. |
|
modify-ebs-default-kms-identificativo chiave |
Cambia la Chiave KMS predefinita utilizzata per crittografare volumi EBS. |
|
reset-ebs-default-kms-identificativo chiave |
Reimposta la Chiave gestita da AWS chiave KMS predefinita utilizzata per crittografare i volumi EBS. |