Usar criptografia com AMIs baseada no EBS - Amazon Elastic Compute Cloud

Usar criptografia com AMIs baseada no EBS

As AMIs com snapshots do Amazon EBS podem se beneficiar da criptografia do Amazon EBS. Os snapshots de volumes raiz e de dados podem ser criptografados e anexados a uma AMI. Você pode executar instâncias e copiar imagens com suporte total à criptografia do EBS. Os parâmetros de criptografia para essas operações são compatíveis em todas as regiões em que o AWS KMS está disponível.

As instâncias do EC2 com volumes do EBS criptografados são executadas em AMIs da mesma forma que outras instâncias. Além disso, ao executar uma instância a partir de uma AMI baseada em snapshots não criptografados do EBS, você poderá criptografar alguns ou todos os volumes durante a execução.

Como volumes do EBS, snapshots em AMIs podem ser criptografados pela chave mestra de cliente (CMK) padrão do AWS Key Management Service ou para uma chave gerenciada pelo cliente que você especificar. Em todos os casos, você deve ter permissão para usar a chave selecionada.

As AMIs com snapshots criptografados podem ser compartilhadas em todas as contas da AWS. Para mais informações, consulte o AMIs compartilhadas.

Tópicos de criptografia em AMIs com EBS

Cenários de execução de instância

As instâncias do Amazon EC2 são executadas a partir de AMIs usando a ação RunInstances com parâmetros fornecidos pelo mapeamento de dispositivos de blocos, seja por meio do Console de gerenciamento da AWS ou diretamente usando a CLI ou a API do Amazon EC2. Para obter mais informações sobre o mapeamento de dispositivos de blocos, consulte Mapeamento de dispositivos de blocos. Para exemplos de mapeamento de dispositivos de blocos da AWS CLI, consulte Executar, listar e encerrar instâncias do EC2.

Por padrão, sem parâmetros de criptografia explícitos, uma ação RunInstances mantém o estado de criptografia existente dos snapshots de origem de uma AMI enquanto restaura os volumes do EBS a partir deles. Se a Criptografia por padrão estiver habilitada, todos os volumes criados a partir da AMI (seja de snapshots criptografados ou não criptografados) serão criptografados. Se a criptografia por padrão não estiver habilitada, a instância manterá o estado de criptografia da AMI.

Você também pode executar uma instância e aplicar simultaneamente um estado de criptografia aos volumes resultantes fornecendo parâmetros de criptografia. Consequentemente, os seguintes comportamentos são observados:

Executar sem parâmetros de criptografia

  • Um snapshot não criptografado é restaurado para um volume não criptografado, a menos que a criptografia por padrão esteja habilitada, e, nesse caso, todos os volumes recém-criados serão criptografados.

  • Um snapshot criptografado que você possui é restaurado para um volume que é criptografado para a mesma CMK.

  • Um snapshot criptografado do qual você não é proprietário (por exemplo, a AMI é compartilhada com você) é restaurado para um volume que é criptografado pela CMK padrão da sua conta da AWS.

Os comportamentos padrão podem ser substituídos fornecendo parâmetros de criptografia. Os parâmetros disponíveis são Encrypted e KmsKeyId. Configurar somente o parâmetro Encrypted resulta no seguinte:

A instância executa comportamentos com Encrypted definido, mas sem KmsKeyId especificado

  • Um snapshot não criptografado é restaurado para um volume do EBS que é criptografado pela CMK padrão da sua conta da AWS.

  • Um snapshot criptografado que você possui é restaurado para um volume do EBS criptografado pela mesma CMK. (Em outras palavras, o parâmetro Encrypted não tem efeito.)

  • Um snapshot criptografado do qual você não é proprietário (isto é, a AMI é compartilhada com você) é restaurado para um volume que é criptografado pela CMK padrão da sua conta da AWS. (Em outras palavras, o parâmetro Encrypted não tem efeito.)

Configurar os parâmetros Encrypted e KmsKeyId permite especificar uma CMK não padrão para uma operação de criptografia. Os seguintes comportamentos resultam em:

A instância com Encrypted e KmsKeyId definidos

  • Um snapshot não criptografado é restaurado para um volume do EBS criptografado pela CMK especificada.

  • Um snapshot criptografado é restaurado para um volume do EBS criptografado não para a CMK original, mas para a CMK especificada.

Enviar um KmsKeyId sem também configurar o parâmetro Encrypted resulta em um erro.

As seções a seguir fornecem exemplos da execução de instâncias de AMIs usando parâmetros de criptografia não padrão. Em cada um desses cenários, os parâmetros fornecidos à ação RunInstances resultam em uma alteração do estado de criptografia durante a restauração de um volume a partir de um snapshot.

Para obter informações sobre como usar o console para executar uma instância de uma AMI, consulte Executar sua instância.

Criptografar um volume durante a execução

Neste exemplo, uma AMI baseada em um snapshot não criptografado é usada para executar uma instância do EC2 com um volume não criptografado do EBS.


					Executar uma instância e criptografar um volume em qualquer lugar

Somente o parâmetro Encrypted resulta no volume que será criptografado para essa instância. É opcional fornecer um parâmetro KmsKeyId. Se nenhum ID de chave for especificado, a CMK padrão da conta da AWS será usada para criptografar o volume. Para criptografar o volume para uma CMK diferente pertencente a você, forneça o parâmetro KmsKeyId.

Criptografar novamente um volume durante a execução

Neste exemplo, uma AMI baseada em um snapshot criptografado é usada para executar uma instância do EC2 com um volume do EBS criptografado por uma nova CMK.


					Executar uma instância e criptografar novamente um volume em qualquer lugar

Se você possuir a AMI e não fornecer nenhum parâmetro de criptografia, a instância resultante terá um volume criptografado pela mesma chave do snapshot. Se a AMI for compartilhada em vez de pertencente a você e não for fornecido nenhum parâmetro de criptografia, o volume será criptografado pela CMK padrão. Com os parâmetros de criptografia fornecidos conforme mostrado, o volume será criptografado pela CMK especificada.

Alterar o estado de criptografia de vários volumes durante a execução

Neste exemplo mais complexo, uma AMI baseada em vários snapshots (cada um com seu próprio estado de criptografia) é usada para executar uma instância do EC2 com um volume recém-criptografado e um volume criptografado novamente.


					Criptografar e criptografar novamente vários volumes durante a execução

Neste cenário, a ação RunInstances é fornecida com parâmetros de criptografia para cada um dos snapshots de origem. Quando todos os parâmetros possíveis de criptografia forem especificados, a instância resultante será a mesma, independentemente de você possuir a AMI.

Cenários de cópia de imagem

Uma AMI do Amazon EC2 é copiada usando a ação CopyImage, seja pelo Console de gerenciamento da AWS ou diretamente usando a CLI ou a API do Amazon EC2.

Por padrão, sem parâmetros de criptografia explícitos, uma ação CopyImage mantém o estado de criptografia existente dos snapshots de origem de uma AMI durante a cópia. Você também pode copiar uma AMI e aplicar simultaneamente um novo estado de criptografia aos snapshots associados do EBS fornecendo parâmetros de criptografia. Consequentemente, os seguintes comportamentos são observados:

Copiar sem parâmetros de criptografia

  • Um snapshot não criptografado é copiado para outro snapshot não criptografado, a menos que a criptografia por padrão esteja habilitada, e, nesse caso, todos os snapshots recém-criados serão criptografados.

  • Um snapshot criptografado pertencente a você é copiado para um snapshot criptografado com a mesma chave.

  • Um snapshot criptografado do qual você não é proprietário (isto é, a AMI é compartilhada com você) é copiado para um snapshot que é criptografado pela CMK padrão da sua conta da AWS.

Todos esses comportamentos padrão podem ser substituídos fornecendo parâmetros de criptografia. Os parâmetros disponíveis são Encrypted e KmsKeyId. Configurar somente o parâmetro Encrypted resulta no seguinte:

Comportamentos de cópia de imagem com Encrypted definido, mas nenhum KmsKeyId especificado

  • Um snapshot não criptografado é copiado para um snapshot criptografado pela CMK padrão da conta da AWS.

  • Um snapshot criptografado é copiado para um snapshot criptografado pela mesma CMK. (Em outras palavras, o parâmetro Encrypted não tem efeito.)

  • Um snapshot criptografado do qual você não é proprietário (isto é, a AMI é compartilhada com você) é copiado para um volume que é criptografado pela CMK padrão da sua conta da AWS. (Em outras palavras, o parâmetro Encrypted não tem efeito.)

Configurar os parâmetros Encrypted e KmsKeyId permite especificar uma CMK gerenciada pelo cliente para uma operação de criptografia. Os seguintes comportamentos resultam em:

Comportamentos de cópia de imagem com Encrypted e KmsKeyId definidos

  • Um snapshot não criptografado é copiado para um snapshot criptografado pela CMK especificada.

  • Um snapshot criptografado é copiado para um snapshot criptografado não para a CMK original, mas para a CMK especificada.

Enviar um KmsKeyId sem também configurar o parâmetro Encrypted resulta em um erro.

A seção a seguir fornece um exemplo de como copiar uma AMI usando parâmetros de criptografia não padrão, resultando em uma alteração do estado de criptografia.

Para obter instruções detalhadas usando o console, consulte Copiar um AMI.

Criptografar uma imagem não criptografada durante a cópia

Nesse caso, uma AMI baseada em um snapshot raiz não criptografado será copiada para uma AMI com um snapshot raiz criptografado. A ação CopyImage é invocada com dois parâmetros de criptografia incluindo uma CMK. Como resultado, o status da criptografia do snapshot raiz é alterado, de modo que a AMI de destino tem o suporte de um snapshot raiz que contém os mesmos dados que o snapshot de origem, mas criptografados usando a chave especificada. Você é cobrado pelos snapshots nas duas AMIs, bem como por qualquer instância que você execute em qualquer umas das AMI.

nota

Habilitar criptografia por padrão tem o mesmo efeito que definir o parâmetro Encrypted como true para todos os snapshots na AMI.


		Copie a AMI e criptografe o snapshot em qualquer lugar

Definir o parâmetro Encrypted criptografa o único snapshot para essa instância. Se você não especificar o parâmetro KmsKeyId, a CMK padrão será usada para criptografar a cópia do snapshot.

nota

Você também pode copiar uma imagem com vários snapshots e configurar o estado de criptografia de cada uma individualmente.