Come utilizza Amazon Elastic Block Store (Amazon EBS) AWS KMS

Questo argomento illustra in dettaglio come Amazon Elastic Block Store (Amazon EBS) utilizza AWS KMS per crittografare volumi e snapshot. Per istruzioni di base su come crittografare i volumi Amazon EBS, consulta Crittografia Amazon EBS.

Crittografia Amazon EBS

Quando colleghi un volume Amazon EBS crittografato a un tipo di istanza Amazon Elastic Compute Cloud (Amazon EC2) supportato, i dati archiviati inattivi nel volume, l'I/O su disco e gli snapshot create dai volumi sono tutti crittografati. La crittografia viene implementata a livello di server che ospitano le istanze Amazon EC2.

Questa caratteristica è supportata su tutti i tipi di volume Amazon EBS. Puoi accedere ai volumi crittografati nello stesso modo in cui si accede ad altri volumi; la crittografia e la decrittografia sono gestite in modo trasparente e non richiedono ulteriore azione da parte dell'utente, dell'istanza EC2 o dell'applicazione. Gli snapshot di volumi crittografati vengono automaticamente crittografati e i volumi creati da snapshot crittografati vengono anch'essi automaticamente crittografati.

Lo stato di crittografia di un volume EBS viene determinato quando si crea il volume. Non è possibile modificare lo stato di crittografia di un volume esistente. Tuttavia, è possibile eseguire la migrazione dei dati tra i volumi crittografati e non crittografati e applicare un nuovo stato di crittografia durante la copia di uno snapshot.

Amazon EBS supporta la crittografia opzionale per impostazione predefinita. Puoi abilitare automaticamente la crittografia su tutti i nuovi volumi EBS e le copie di snapshot nella tua regione. Account AWS Questa impostazione di configurazione non influisce sui volumi o sugli snapshot esistenti. Per i dettagli, consulta Encryption by default nella Amazon EC2 User Guide o Amazon EC2 User Guide.

Utilizzo di chiavi KMS e chiavi dati

Quando crei un volume Amazon EBS crittografato, specifichi una AWS KMS key. Per impostazione predefinita, Amazon EBS utilizza la Chiave gestita da AWS per Amazon EBS nel tuo account (aws/ebs). Tuttavia puoi specificare una chiave gestita dal cliente creata e gestita da te.

Per utilizzare una chiave gestita dal cliente, è necessario concedere ad Amazon EBS l'autorizzazione a utilizzare una chiave KMS per conto dell'utente. Per un elenco delle autorizzazioni richieste, consulta Autorizzazioni per gli utenti IAM nella Guida per l'utente di Amazon EC2 o nella Guida per l'utente di Amazon EC2.

Importante

Amazon EBS supporta solo chiavi KMS simmetriche. Non è possibile utilizzare una chiave KMS asimmetrica per crittografare il volume Amazon EBS. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta Individuazione di chiavi KMS asimmetriche.

Per ogni volume, Amazon EBS chiede di AWS KMS generare una chiave dati univoca crittografata con la chiave KMS specificata. Amazon EBS archivia la chiave di dati crittografata con il volume. Quindi, quando colleghi il volume a un'istanza Amazon EC2, Amazon EBS chiama AWS KMS per decrittografare la chiave dati. Amazon EBS usa la chiave dei dati sotto forma di testo in chiaro nella memoria dell'hypervisor per crittografare l'I/O su disco verso il volume EBS. Per i dettagli, consulta Come funziona la crittografia EBS nella Guida per l'utente di Amazon EC2 o nella Guida per l'utente di Amazon EC2.

Contesto di crittografia di Amazon EBS

Nelle sue richieste GenerateDataKeyWithoutPlaintexte Decrypt a, AWS KMS Amazon EBS utilizza un contesto di crittografia con una coppia nome-valore che identifica il volume o lo snapshot nella richiesta. Il nome nel contesto di crittografia non varia.

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Per tutti i volumi e per gli snapshot crittografati creati con l'CreateSnapshotoperazione Amazon EBS, Amazon EBS utilizza l'ID del volume come valore del contesto di crittografia. Nel requestParameters campo di una voce di CloudTrail registro, il contesto di crittografia è simile al seguente:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Per le istantanee crittografate create con l'operazione Amazon CopySnapshotEC2, Amazon EBS utilizza l'ID snapshot come valore del contesto di crittografia. Nel requestParameters campo di una voce di CloudTrail registro, il contesto di crittografia è simile al seguente:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Rilevamento degli errori Amazon EBS

Per creare un volume EBS crittografato o collegare il volume a un'istanza EC2, Amazon EBS e l'infrastruttura Amazon EC2 devono essere in grado di utilizzare la chiave KMS specificata per la crittografia del volume EBS. Quando la chiave KMS non è utilizzabile, ad esempio quando lo stato della chiave non è Enabled, la creazione del volume o l'allegato del volume ha esito negativo.

In questo caso, Amazon EBS invia un evento ad Amazon EventBridge (precedentemente CloudWatch Events) per informarti dell'errore. In EventBridge, puoi stabilire regole che attivano azioni automatiche in risposta a questi eventi. Per ulteriori informazioni, consulta Amazon CloudWatch Events for Amazon EBS nella Guida per l'utente di Amazon EC2, in particolare le seguenti sezioni:

• Chiave di crittografia non valida per il collegamento il ricollegamento del volume

• Chiave di crittografia non valida su Crea volume

Per risolvere questi problemi, assicurati che la chiave KMS specificata per la crittografia del volume EBS sia abilitata. A tale scopo, visualizza innanzitutto la chiave KMS per determinare lo stato corrente della chiave (la colonna Status in). AWS Management Console Quindi, consulta le informazioni contenute in uno dei seguenti collegamenti:

• Se lo stato di chiave KMS è disabilitato, abilitalo.

• Se lo stato di chiave KMS è in importazione in sospeso, importa il materiale chiave.

• Se lo stato di chiave KMS è in eliminazione in sospeso, annulla l'eliminazione della chiave.

Utilizzo AWS CloudFormation per creare volumi Amazon EBS crittografati

È possibile utilizzare AWS CloudFormation per creare volumi di Amazon EBS crittografati. Per ulteriori informazioni, consulta AWS::EC2::Volumela Guida per l'AWS CloudFormation utente.