Criptografia do Amazon EBS - Amazon Elastic Compute Cloud

Criptografia do Amazon EBS

Use Criptografia de Amazon EBS como solução de criptografia direta para seus recursos do EBS associados às instâncias do EC2. Com a criptografia do Amazon EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS keys ao criar volumes e snapshots criptografados.

As operações de criptografia ocorrem nos servidores que hospedam instâncias do EC2, garantindo a segurança dos dados em repouso e dos dados em trânsito entre uma instância e seu armazenamento do EBS anexado.

É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente.

Como funciona a criptografia do EBS

É possível criptografar os volumes de dados e inicialização de uma instância do EC2.

Quando você cria um volume do EBS criptografado e o anexa a um tipo de instância com suporte, os seguintes tipos de dados são criptografados:

  • Dados em repouso dentro do volume

  • Todos os dados que são movidos entre o volume e a instância

  • Todos os snapshots criados a partir do volume

  • Todos os volumes criados a partir desses snapshots

O Amazon EBS criptografa o volume com uma chave de dados usando a criptografia de dados AES-256 padrão do setor. A chave de dados é gerada pelo AWS KMS e, em seguida, criptografada pelo AWS KMS com sua chave do AWS KMSantes de ser armazenada com as informações do volume. Todos os snapshots e volumes subsequentes criados desses snapshots com a mesma chave do AWS KMS compartilham a mesma chave de dados. Para obter mais informações, consulte Chaves de dados no Guia do desenvolvedor do AWS Key Management Service).

O Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS de maneiras ligeiramente diferentes, dependendo se o snapshot do qual você cria um volume criptografado é criptografado ou não.

Como funciona a criptografia EBS quando o snapshot é criptografado

Quando você cria um volume criptografado em um snapshot criptografado que você possui, o Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS da seguinte forma:

  1. O Amazon EC2 envia uma solicitação GenerateDataKeyWithoutPlaintext ao AWS KMS especificando a chave do KMS que você escolheu para a criptografia de volume.

  2. Se o volume for criptografado usando a mesma chave do KMS que o snapshot, o AWS KMS usa a mesma chave de dados que o snapshot e a criptografa com a mesma chave do KMS. Se o volume for criptografado usando outra chave do KMS, o AWS KMS gera uma nova chave de dados e a criptografa com a chave do KMS especificada. A chave de dados criptografada é enviada para ser armazenada no Amazon EBS com os metadados do volume.

  3. Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa descriptografar a chave de dados.

  4. O AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada ao Amazon EC2.

  5. O Amazon EC2 usa a chave de dados de texto simples na memória do hipervisor para criptografar a E/S de disco para o volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.

Como funciona a criptografia EBS quando o snapshot não é criptografado

Quando você cria um volume criptografado em um snapshot não criptografado, o Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS da seguinte forma:

  1. O Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa criptografar o volume criado a partir do snapshot.

  2. O Amazon EC2 envia uma solicitação GenerateDataKeyWithoutPlaintext ao AWS KMS especificando a chave do KMS que você escolheu para a criptografia de volume.

  3. O AWS KMS gera uma nova chave de dados, criptografa-a com a chave do KMS escolhida para a criptografia de volume e envia a chave de dados criptografada ao Amazon EBS para ser armazenada com os metadados do volume.

  4. O Amazon EC2 envia uma solicitação Decrypt ao AWS KMS para obter a chave de criptografia para criptografar os dados de volume.

  5. Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa descriptografar a chave de dados.

  6. Quando você anexa um volume criptografado a uma instância, o Amazon EC2 envia uma solicitação Decrypt ao AWS KMS especificando a chave de dados criptografada.

  7. O AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada ao Amazon EC2.

  8. O Amazon EC2 usa a chave de dados de texto simples na memória do hipervisor para criptografar a E/S de disco para o volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.

Para obter mais informações, consulte Como o Amazon Elastic Block Store (Amazon EBS) usa o AWS KMS e exemplo dois do Amazon EC2 no Guia do desenvolvedor do AWS Key Management Service.

Requisitos

Antes de começar, verifique se os seguintes requisitos foram atendidos.

Tipos de volume compatíveis

A criptografia é compatível com todos os tipos de volume do EBS. É possível esperar a mesma performance de IOPS dos volumes não criptografados nos volumes criptografados, com efeito mínimo na latência. É possível acessar volumes criptografados da mesma forma que acessa volumes não criptografados. A criptografia e a descriptografia são tratadas de forma transparente e não requerem nenhuma ação adicional de sua parte e de suas aplicações.

Tipos de instâncias compatíveis

Criptografia de Amazon EBS está disponível em todos os tipos de instância da geração atual e nos seguintes tipos de instância da geração anterior: A1,C3, cr1.8xlarge, G2, I2, M3, and R3.

Permissões para usuários do IAM

Quando você configura uma Chave do KMS como a chave padrão para a criptografia do EBS, a política de Chave do KMS padrão permite que qualquer usuário do IAM com acesso às ações necessárias do KMS use essa Chave do KMS para criptografar ou descriptografar os recursos do EBS. É necessário conceder aos usuários do IAM a permissão para chamar as seguintes ações para usar a criptografia do EBS:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, permita que o usuário crie concessões na chave do KMS somente quando a concessão for criada em nome do usuário por um serviço da AWS conforme mostrado no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

Para obter mais informações, consulte Permite acesso à conta da AWS e habilita políticas do IAM na seção Política de chaves padrão no Guia do desenvolvedor do AWS Key Management Service).

Padrão Chave do KMS para criptografia EBS

O Amazon EBS cria automaticamente uma Chave gerenciada pela AWS exclusiva em cada região em que você armazena recursos da AWS. Essa Chave do KMS tem o alias alias/aws/ebs. Por padrão, o Amazon EBS usa essa Chave do KMS para a criptografia. Como alternativa, é possível especificar uma chave de criptografia simétrica gerenciada pelo cliente criada como chave padrão do KMS para a criptografia EBS. Usar sua própria Chave do KMS oferece a você mais flexibilidade, incluindo a capacidade de criar, alternar e desabilitar Chaves do KMS.

Importante

O Amazon EBS não é compatível com chaves do KMS assimétricas. Para obter mais informações, consulte Uso de chaves do KMS de criptografia simétricas e assimétricas no Guia do desenvolvedor do AWS Key Management Service.

New console

Como configurar a Chave do KMS padrão para a criptografia do EBS em uma região

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione a região.

  3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

  4. No canto superior direito da página, escolha Account Attributes (Atributos da conta), EBS encryption (Criptografia do EBS).

  5. Escolha Gerenciar.

  6. Para a Chave de criptografia padrão, escolha uma chave de criptografia simétrica gerenciada pelo cliente.

  7. Escolha Update EBS encryption (Atualizar criptografia do EBS).

Old console

Como configurar a Chave do KMS padrão para a criptografia do EBS em uma região

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione a região.

  3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

  4. No canto superior direito da página, escolha Account Attributes (Atributos da conta), Settings (Configurações).

  5. Escolha Change the default key (Alterar a chave padrão) e selecione uma Chave do KMS disponível.

  6. Escolha Save settings (Salvar configurações).

Criptografia por padrão

Será possível configurar sua conta da AWS para impor a criptografia das novas cópias de snapshots e volumes do EBS que criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte Criptografar recursos não criptografados.

Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes.

Considerações

  • A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.

  • Ao habilitar a criptografia por padrão, será possível executar uma instância somente se o tipo de instância oferecer suporte à criptografia do EBS. Para obter mais informações, consulte Tipos de instâncias compatíveis.

  • Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.

  • Ao migrar servidores usando o AWS Server Migration Service (SMS), não ative a criptografia por padrão. Se a criptografia por padrão já estiver ativada, e você estiver enfrentando falhas de replicação delta, desative a criptografia por padrão. Em vez disso, habilite a criptografia de AMI ao criar o trabalho de replicação.

New console

Para ativar a criptografia por padrão para uma região

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione a região.

  3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

  4. No canto superior direito da página, escolha Account Attributes (Atributos da conta), EBS encryption (Criptografia do EBS).

  5. Escolha Gerenciar.

  6. Selecione Enable (Habilitar). Mantenha a Chave gerenciada pela AWS com o alias alias/aws/ebs criado em seu nome como a chave de criptografia padrão ou escolha uma chave de criptografia simétrica gerenciada pelo cliente.

  7. Escolha Update EBS encryption (Atualizar criptografia do EBS).

Old console

Para ativar a criptografia por padrão para uma região

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione a região.

  3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

  4. No canto superior direito da página, escolha Account Attributes (Atributos da conta), Settings (Configurações).

  5. Em EBS Storage (Armazenamento do EBS), selecione Always encrypt new EBS volumes (Sempre criptografar novos volumes do EBS).

  6. Escolha Save settings (Salvar configurações).

Não é possível alterar a Chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.

Criptografar recursos do EBS

Criptografe volumes do EBS habilitando a criptografia, usando a criptografia por padrão ou habilitando a criptografia ao criar um volume que deseja criptografar.

Ao criptografar um volume, é possível especificar a chave do KMS de criptografia simétrica a ser usada para criptografar o volume. Se a Chave do KMS não for especificada, a Chave do KMS usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade. Para obter mais informações, consulte a tabela de resultados de criptografia.

nota

Se você estiver usando a API ou a AWS CLI para especificar uma chave do KMS, esteja ciente de que a AWS autentica Chave do KMS de forma assíncrona. Se você especificar um ID de Chave do KMS, um alias ou um ARN que não forem válidos, é possível que a ação pareça estar concluída, mas ela falhará eventualmente.

Você não pode alterar a Chave do KMS que estiver associada a um snapshot ou a um volume existente. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.

Criptografar um volume vazio na criação

Ao criar um novo volume do EBS vazio, será possível criptografá-lo habilitando a criptografia para a operação de criação de volume específica. Se você tiver habilitado a criptografia do EBS por padrão, o volume será automaticamente criptografado usando a Chave do KMS padrão para criptografia do EBS. Outra opção é especificar uma chave do KMS de criptografia simétrica diferente para a operação de criação de um volume específico. O volume será criptografado no momento em que for disponibilizado a primeira vez, para que seus dados estejam sempre protegidos. Para ver os procedimentos detalhados, consulte Crie um volume do Amazon EBS..

Por padrão, a Chave do KMS selecionada durante a criação de um volume criptografa os snapshots que você cria do volume e os volumes que você restaura desses snapshots criptografados. Não é possível remover a criptografia de um volume ou snapshot criptografado, o que significa que um volume restaurado a partir de um snapshot criptografado ou uma cópia de um snapshot criptografado será sempre criptografado.

Não há suporte para snapshots públicos de volumes criptografado, mas é possível compartilhar um snapshot criptografado com contas específicas. Para obter instruções detalhadas, consulte Compartilhar um snapshot do Amazon EBS.

Criptografar recursos não criptografados

Não é possível criptografar diretamente volumes ou snapshots não criptografados. No entanto, é possível criar volumes ou snapshots criptografados a partir de volumes ou snapshots não criptografados. Se você habilitar a criptografia por padrão, o Amazon EBS automaticamente criptografa o novo volume ou snapshot usando a chave KMS padrão para a criptografia do EBS. Caso contrário, será possível habilitar a criptografia ao criar um volume ou um snapshot individual, usando a Chave KMS padrão para a criptografia do Amazon EBS ou uma chave de criptografia simétrica gerenciada pelo cliente. Para obter mais informações, consulte Crie um volume do Amazon EBS. e Copiar um snapshot do Amazon EBS..

Para criptografar a cópia do snapshot para uma chave gerenciada pelo cliente, é necessário habilitar a criptografia e especificar a Chave do KMS, conforme mostrado em Copiar um snapshot não criptografado (criptografia por padrão não habilitada).

Importante

O Amazon EBS não é compatível com chaves do KMS assimétricas. Para obter mais informações, consulte Uso de chaves do KMS de criptografia simétricas e assimétricas no Guia do desenvolvedor do AWS Key Management Service.

Também é possível aplicar novos estados de criptografia ao executar uma instância a partir de uma AMI baseada em EBS. Isso ocorre porque as AMIs baseadas em EBS incluem snapshots de volumes do EBS que podem ser criptografados conforme descrito. Para mais informações, consulte Usar criptografia com AMIs com EBS.

Alternar chaves do AWS KMS

As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves de criptografia. Para criar um novo material criptográfico para sua chave do KMS, você pode criar uma nova chave do KMS e alterar suas aplicações ou aliases para usar a nova chave do KMS. Ou você pode habilitar a alternância automática de chaves para uma chave do KMS existente.

Quando você habilita a alternância automática de chaves para uma chave do KMS, o AWS KMS gera um novo material criptográfico para a chave do KMS todo ano. O AWS KMS salva todas as versões anteriores do material criptográfico para que você possa usar para descriptografar quaisquer dados criptografados com a chave do KMS. O AWS KMS não exclui nenhum material de chaves alternadas até que você exclua a chave do KMS.

Quando você usa uma chave do KMS alternada para criptografar dados, o AWS KMS usa o material de chave atual. Quando você usa a chave do KMS alternada para descriptografar dados, o AWS KMS usa a versão do material de chave que foi usado para criptografá-los. Você pode usar com segurança uma chave KMS alternada em aplicações e produtos da AWS sem alterações de código.

nota

A alternância automática de chaves é compatível somente com chaves simétricas gerenciadas pelo cliente com material de chave que o AWS KMS cria. O AWS KMS alterna automaticamente Chaves gerenciadas pela AWS todos os anos. Não é possível habilitar ou desabilitar a alternância de chaves para Chaves gerenciadas pela AWS.

Para obter mais informações, consulte Rotating KMS key (Alternar chave do KMS) no Guia do desenvolvedor do AWS Key Management Service.

Cenários de criptografia

Quando você cria um recurso do EBS criptografado, ele é criptografado pela Chave do KMS padrão para a criptografia do EBS da sua conta, a menos que você especifique uma chave gerenciada pelo cliente diferente nos parâmetros de criação do volume ou no mapeamento de dispositivos de blocos para a AMI ou para a instância. Para obter mais informações, consulte Padrão Chave do KMS para criptografia EBS.

Os exemplos a seguir ilustram como é possível gerenciar o estado de criptografia de seus volumes e snapshots. Para obter uma lista completa de casos de criptografia, consulte a tabela de resultados de criptografia.

Restaurar um volume não criptografado (criptografia por padrão não habilitada)

Sem a criptografia por padrão habilitada, um volume restaurado de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o volume resultante configurando o parâmetro Encrypted e, opcionalmente, o parâmetro KmsKeyId. O diagrama a seguir ilustra o processo.

Se você deixar o parâmetro KmsKeyId de fora, o volume resultante será criptografado usando a Chave do KMS padrão para a criptografia do EBS. Especifique o ID de uma Chave do KMS para criptografar o volume de uma Chave do KMS diferente.

Para obter mais informações, consulte Criar um volume a partir de um snapshot.

Restaurar um volume não criptografado (criptografia por padrão habilitada)

Quando a criptografia for habilitada por padrão, ela será obrigatória para volumes restaurados de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário para que a Chave do KMS padrão seja usada. O diagrama a seguir mostra este simples caso padrão:

Se quiser criptografar o volume restaurado com uma chave de criptografia simétrica gerenciada pelo cliente, você deverá fornecer os parâmetros Encrypted e KmsKeyId, conforme mostrado em Restaurar um volume não criptografado (criptografia por padrão não habilitada).

Copiar um snapshot não criptografado (criptografia por padrão não habilitada)

Sem a criptografia por padrão habilitada, uma cópia de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o snapshot resultante configurando o parâmetro Encrypted e, opcionalmente, o parâmetro KmsKeyId. Se você omitir o KmsKeyId, o snapshot resultante será criptografado pela Chave do KMS padrão. É necessário especificar o ID de uma chave do KMS de criptografia para criptografar o volume para uma chave do KMS de criptografia simétrica diferente.

O diagrama a seguir ilustra o processo.


                    Criar um snapshot criptografado a partir de um snapshot não criptografado.

É possível criptografar um volume do EBS ao copiar um snapshot não criptografado em um snapshot criptografado e criar um volume a partir do snapshot criptografado. Para obter mais informações, consulte Copiar um snapshot do Amazon EBS..

Copiar um snapshot não criptografado (criptografia por padrão habilitada)

Quando a criptografia por padrão estiver habilitada, a criptografia é obrigatória para cópias de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário se a Chave do KMS padrão for usada. O diagrama a seguir ilustra este caso padrão:


                    Criar um snapshot criptografado a partir de um snapshot não criptografado.

Criptografar novamente um volume criptografado

Quando a ação CreateVolume opera em um snapshot criptografado, você tem a opção de criptografá-lo novamente com uma Chave do KMS diferente. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a criação do volume, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são automaticamente descriptografados e, depois, novamente criptografados pela Chave do KMS B.


                    Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.

Para obter mais informações, consulte Criar um volume a partir de um snapshot.

Criptografar novamente um snapshot criptografado

A capacidade de criptografar um snapshot durante a cópia permite aplicar uma nova Chave do KMS de criptografia simétrica a um snapshot já criptografado de sua propriedade. Os volumes restaurados da cópia resultante só são acessíveis usando a nova Chave do KMS. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a cópia, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são novamente criptografados de forma automática pela Chave do KMS B.


                    Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.

Em um cenário relacionado, é possível optar por aplicar novos parâmetros de criptografia a uma cópia de um snapshot que tenha sido compartilhado com você. Por padrão, a cópia é criptografada com uma Chave do KMS compartilhada pelo proprietário do snapshot. No entanto, recomendamos que você crie uma cópia do snapshot compartilhado usando uma Chave do KMS diferente que esteja sob seu controle. Isso protegerá seu acesso ao volume se a Chave do KMS original estiver comprometida ou se o proprietário revogar a Chave do KMS por algum motivo. Para obter mais informações, consulte Cópia de snapshot e criptografia.

Migrar dados entre volumes criptografados e não criptografados

Quando você tem acesso a volumes criptografados e não criptografados, pode transferir livremente dados entre eles. O EC2 realiza as operações de criptografia ou descriptografia de forma transparente.

Por exemplo: use o comando rsync para copiar os dados. No comando a seguir, os dados de origem estão localizados em /mnt/source e o volume de destino está montado em /mnt/destination.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Resultados da criptografia

A tabela a seguir descreve o resultado da criptografia para cada combinação possível de configurações.

A criptografia está ativada? A criptografia está ativada por padrão? Origem do volume Padrão (nenhuma chave gerenciada pelo cliente especificada) Personalizado (chave gerenciada pelo cliente especificada)
Não Não Novo volume (vazio) Não criptografado N/D
Não Não Snapshot não criptografado pertencente a você Não criptografado
Não Não Snapshot criptografado pertencente a você Criptografado pela mesma chave
Não Não Snapshot não criptografado compartilhado com você Não criptografado
Não Não Snapshot criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente*
Sim Não Novo volume Criptografado por chave padrão gerenciada pelo cliente Criptografado por uma chave gerenciada pelo cliente especificada**
Sim Não Snapshot não criptografado pertencente a você Criptografado por chave padrão gerenciada pelo cliente
Sim Não Snapshot criptografado pertencente a você Criptografado pela mesma chave
Sim Não Snapshot não criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente
Sim Não Snapshot criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente
Não Sim Novo volume (vazio) Criptografado por chave padrão gerenciada pelo cliente N/D
Não Sim Snapshot não criptografado pertencente a você Criptografado por chave padrão gerenciada pelo cliente
Não Sim Snapshot criptografado pertencente a você Criptografado pela mesma chave
Não Sim Snapshot não criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente
Não Sim Snapshot criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente
Sim Sim Novo volume Criptografado por chave padrão gerenciada pelo cliente Criptografado por uma chave gerenciada pelo cliente especificada
Sim Sim Snapshot não criptografado pertencente a você Criptografado por chave padrão gerenciada pelo cliente
Sim Sim Snapshot criptografado pertencente a você Criptografado pela mesma chave
Sim Sim Snapshot não criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente
Sim Sim Snapshot criptografado compartilhado com você Criptografado por chave padrão gerenciada pelo cliente

* Esta é a chave gerenciada pelo cliente padrão usada para criptografia do EBS para a conta e região da AWS. Por padrão, é uma Chave gerenciada pela AWS exclusiva para o EBS, ou é possível especificar uma chave gerenciada pelo cliente. Para obter mais informações, consulte Padrão Chave do KMS para criptografia EBS.

** Esta é uma chave gerenciada pelo cliente especificada para o volume no momento do lançamento. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a conta e a região da AWS.

Configurar padrões de criptografia usando a API e a CLI

É possível gerenciar a criptografia por padrão e a Chave do KMS padrão usando os comandos da CLI e ações de API a seguir.

Ação de API Comando da CLI Descrição

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Desativa a criptografia por padrão.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Ativa a criptografia por padrão.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

Descreve a Chave do KMS padrão.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Indica se a criptografia por padrão está ativada.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

Altera a Chave do KMS padrão usada para criptografar volumes do EBS.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

Redefine a Chave gerenciada pela AWS como chave do KMS padrão usada para criptografar volumes do EBS.