As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia do Amazon EBS
Use Criptografia de Amazon EBS como solução de criptografia direta para seus recursos do EBS associados às instâncias do EC2. Com a criptografia do Amazon EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS keys ao criar volumes e snapshots criptografados.
As operações de criptografia ocorrem nos servidores que hospedam instâncias do EC2, garantindo a segurança dos dados em repouso e dos dados em trânsito entre uma instância e seu armazenamento do EBS anexado.
É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente.
Tópicos
Como funciona a criptografia do EBS
É possível criptografar os volumes de dados e inicialização de uma instância do EC2.
Quando você cria um volume do EBS criptografado e o anexa a um tipo de instância com suporte, os seguintes tipos de dados são criptografados:
-
Dados em repouso dentro do volume
-
Todos os dados que são movidos entre o volume e a instância
-
Todos os snapshots criados a partir do volume
-
Todos os volumes criados a partir desses snapshots
O Amazon EBS criptografa o volume com uma chave de dados usando a criptografia de dados AES-256 padrão do setor. A chave de dados é gerada pelo AWS KMS e, em seguida, criptografada pelo AWS KMS com sua chave do AWS KMSantes de ser armazenada com as informações do volume. Todos os snapshots e volumes subsequentes criados desses snapshots com a mesma chave do AWS KMS compartilham a mesma chave de dados. Para obter mais informações, consulte Chaves de dados no Guia do desenvolvedor do AWS Key Management Service).
O Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS de maneiras ligeiramente diferentes, dependendo se o snapshot do qual você cria um volume criptografado é criptografado ou não.
Como funciona a criptografia EBS quando o snapshot é criptografado
Quando você cria um volume criptografado em um snapshot criptografado que você possui, o Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS da seguinte forma:
-
O Amazon EC2 envia uma solicitação GenerateDataKeyWithoutPlaintext ao AWS KMS especificando a chave do KMS que você escolheu para a criptografia de volume.
-
Se o volume for criptografado usando a mesma chave do KMS que o snapshot, o AWS KMS usa a mesma chave de dados que o snapshot e a criptografa com a mesma chave do KMS. Se o volume for criptografado usando outra chave do KMS, o AWS KMS gera uma nova chave de dados e a criptografa com a chave do KMS especificada. A chave de dados criptografada é enviada para ser armazenada no Amazon EBS com os metadados do volume.
-
Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa descriptografar a chave de dados.
-
O AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada ao Amazon EC2.
-
O Amazon EC2 usa a chave de dados de texto simples no hardware do Nitro para criptografar a E/S de disco para o volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.
Como funciona a criptografia EBS quando o snapshot não é criptografado
Quando você cria um volume criptografado em um snapshot não criptografado, o Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS da seguinte forma:
-
O Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa criptografar o volume criado a partir do snapshot.
-
O Amazon EC2 envia uma solicitação GenerateDataKeyWithoutPlaintext ao AWS KMS especificando a chave do KMS que você escolheu para a criptografia de volume.
-
O AWS KMS gera uma nova chave de dados, criptografa-a com a chave do KMS escolhida para a criptografia de volume e envia a chave de dados criptografada ao Amazon EBS para ser armazenada com os metadados do volume.
-
O Amazon EC2 envia uma solicitação Decrypt ao AWS KMS para obter a chave de criptografia para criptografar os dados de volume.
-
Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma solicitação CreateGrant ao AWS KMS para que ele possa descriptografar a chave de dados.
-
Quando você anexa um volume criptografado a uma instância, o Amazon EC2 envia uma solicitação Decrypt ao AWS KMS especificando a chave de dados criptografada.
-
O AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada ao Amazon EC2.
-
O Amazon EC2 usa a chave de dados de texto simples no hardware do Nitro para criptografar a E/S de disco para o volume. A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.
Para obter mais informações, consulte Como o Amazon Elastic Block Store (Amazon EBS) usa o AWS KMS e exemplo dois do Amazon EC2 no Guia do desenvolvedor do AWS Key Management Service.
Como as chaves do KMS inutilizáveis afetam as chaves de dados
Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O estado de chave da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em operações de criptografia falham.
Ao executar uma ação que inutiliza a chave do KMS, não há nenhum efeito imediato sobre a instância do EC2 nem sobre os volumes do EBS anexados. O Amazon EC2 usa a chave de dados (e não a chave do KMS) para criptografar toda a E/S de disco enquanto o volume está anexado à instância.
No entanto, quando o volume criptografado do EBS é desanexado da instância do EC2, o Amazon EBS remove a chave de dados do hardware do Nitro. Da próxima vez que o volume do EBS for anexado à instância do EC2, a anexação falhará porque o Amazon EBS não consegue usar a chave do KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.
dica
Se você não quiser mais acessar os dados armazenados em um volume do EBS criptografado com uma chave de dados gerada de uma chave do KMS que pretende tornar inutilizável, recomendamos desanexar o volume do EBS da instância do EC2 antes de tornar a chave do KMS inutilizável.
Para obter mais informações, consulte How unusable KMS keys affect data keys no Guia do desenvolvedor do AWS Key Management Service.
Criptografar recursos do EBS
Criptografe volumes do EBS habilitando a criptografia, usando a criptografia por padrão ou habilitando a criptografia ao criar um volume que deseja criptografar.
Ao criptografar um volume, é possível especificar a chave do KMS de criptografia simétrica a ser usada para criptografar o volume. Se a Chave do KMS não for especificada, a Chave do KMS usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade. Para obter mais informações, consulte a tabela de resultados de criptografia.
nota
Se você estiver usando a API ou a AWS CLI para especificar uma chave do KMS, esteja ciente de que a AWS autentica Chave do KMS de forma assíncrona. Se você especificar um ID de Chave do KMS, um alias ou um ARN que não forem válidos, é possível que a ação pareça estar concluída, mas ela falhará eventualmente.
Você não pode alterar a Chave do KMS que estiver associada a um snapshot ou a um volume existente. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
Criptografar um volume vazio na criação
Ao criar um novo volume do EBS vazio, será possível criptografá-lo habilitando a criptografia para a operação de criação de volume específica. Se você tiver habilitado a criptografia do EBS por padrão, o volume será automaticamente criptografado usando a Chave do KMS padrão para criptografia do EBS. Outra opção é especificar uma chave do KMS de criptografia simétrica diferente para a operação de criação de um volume específico. O volume será criptografado no momento em que for disponibilizado a primeira vez, para que seus dados estejam sempre protegidos. Para ver os procedimentos detalhados, consulte Crie um volume do Amazon EBS..
Por padrão, a Chave do KMS selecionada durante a criação de um volume criptografa os snapshots que você cria do volume e os volumes que você restaura desses snapshots criptografados. Não é possível remover a criptografia de um volume ou snapshot criptografado, o que significa que um volume restaurado a partir de um snapshot criptografado ou uma cópia de um snapshot criptografado será sempre criptografado.
Não há suporte para snapshots públicos de volumes criptografado, mas é possível compartilhar um snapshot criptografado com contas específicas. Para obter instruções detalhadas, consulte Compartilhar um snapshot do Amazon EBS.
Criptografar recursos não criptografados
Não é possível criptografar diretamente volumes ou snapshots não criptografados. No entanto, é possível criar volumes ou snapshots criptografados a partir de volumes ou snapshots não criptografados. Se você habilitar a criptografia por padrão, o Amazon EBS automaticamente criptografa o novo volume ou snapshot usando a chave KMS padrão para a criptografia do EBS. Caso contrário, será possível habilitar a criptografia ao criar um volume ou um snapshot individual, usando a Chave KMS padrão para a criptografia do Amazon EBS ou uma chave de criptografia simétrica gerenciada pelo cliente. Para obter mais informações, consulte Crie um volume do Amazon EBS. e Copiar um snapshot do Amazon EBS..
Para criptografar a cópia do snapshot para uma chave gerenciada pelo cliente, é necessário habilitar a criptografia e especificar a Chave do KMS, conforme mostrado em Copiar um snapshot não criptografado (criptografia por padrão não habilitada).
Importante
O Amazon EBS não é compatível com chaves do KMS assimétricas. Para obter mais informações, consulte Uso de chaves do KMS de criptografia simétricas e assimétricas no Guia do desenvolvedor do AWS Key Management Service.
Também é possível aplicar novos estados de criptografia ao executar uma instância a partir de uma AMI baseada em EBS. Isso ocorre porque as AMIs baseadas em EBS incluem snapshots de volumes do EBS que podem ser criptografados conforme descrito. Para obter mais informações, consulte Usar criptografia com AMIs baseadas no EBS.
Alternar chaves do AWS KMS
As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves de criptografia. Para criar um novo material criptográfico para sua chave do KMS, você pode criar uma nova chave do KMS e alterar suas aplicações ou aliases para usar a nova chave do KMS. Ou você pode habilitar a alternância automática de chaves para uma chave do KMS existente.
Quando você habilita a alternância automática de chaves para uma chave do KMS, o AWS KMS gera um novo material criptográfico para a chave do KMS todo ano. O AWS KMS salva todas as versões anteriores do material criptográfico para que você possa usar para descriptografar quaisquer dados criptografados com a chave do KMS. O AWS KMS não exclui nenhum material de chaves alternadas até que você exclua a chave do KMS.
Quando você usa uma chave do KMS alternada para criptografar dados, o AWS KMS usa o material de chave atual. Quando você usa a chave do KMS alternada para descriptografar dados, o AWS KMS usa a versão do material de chave que foi usado para criptografá-los. Você pode usar com segurança uma chave KMS alternada em aplicações e produtos da AWS sem alterações de código.
nota
A alternância automática de chaves é compatível somente com chaves simétricas gerenciadas pelo cliente com material de chave que o AWS KMS cria. O AWS KMS alterna automaticamente Chaves gerenciadas pela AWS todos os anos. Não é possível habilitar ou desabilitar a alternância de chaves para Chaves gerenciadas pela AWS.
Para obter mais informações, consulte Rotating KMS key (Alternar chave do KMS) no Guia do desenvolvedor do AWS Key Management Service.
