As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de criptografia do Amazon EBS
Quando você cria um recurso do EBS criptografado, ele é criptografado pela Chave do KMS padrão para a criptografia do EBS da sua conta, a menos que você especifique uma chave gerenciada pelo cliente diferente nos parâmetros de criação do volume ou no mapeamento de dispositivos de blocos para a AMI ou para a instância. Para ter mais informações, consulte Selecionar uma chave do KMS para criptografia do EBS.
Os exemplos a seguir ilustram como é possível gerenciar o estado de criptografia de seus volumes e snapshots. Para obter uma lista completa de casos de criptografia, consulte a tabela de resultados de criptografia.
Exemplos
- Restaurar um volume não criptografado (criptografia por padrão não habilitada)
- Restaurar um volume não criptografado (criptografia por padrão habilitada)
- Copiar um snapshot não criptografado (criptografia por padrão não habilitada)
- Copiar um snapshot não criptografado (criptografia por padrão habilitada)
- Criptografar novamente um volume criptografado
- Criptografar novamente um snapshot criptografado
- Migrar dados entre volumes criptografados e não criptografados
- Resultados da criptografia
Restaurar um volume não criptografado (criptografia por padrão não habilitada)
Sem a criptografia por padrão habilitada, um volume restaurado de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o volume resultante configurando o parâmetro Encrypted e, opcionalmente, o parâmetro KmsKeyId. O diagrama a seguir ilustra o processo.
Se você deixar o parâmetro KmsKeyId de fora, o volume resultante será criptografado usando a Chave do KMS padrão para a criptografia do EBS. Especifique o ID de uma Chave do KMS para criptografar o volume de uma Chave do KMS diferente.
Para obter mais informações, consulte Criar um volume a partir de um snapshot.
Restaurar um volume não criptografado (criptografia por padrão habilitada)
Quando a criptografia for habilitada por padrão, ela será obrigatória para volumes restaurados de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário para que a Chave do KMS padrão seja usada. O diagrama a seguir mostra este simples caso padrão:
Se quiser criptografar o volume restaurado com uma chave de criptografia simétrica gerenciada pelo cliente, você deverá fornecer os parâmetros Encrypted e KmsKeyId, conforme mostrado em Restaurar um volume não criptografado (criptografia por padrão não habilitada).
Copiar um snapshot não criptografado (criptografia por padrão não habilitada)
Sem a criptografia por padrão habilitada, uma cópia de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o snapshot resultante configurando o parâmetro Encrypted e, opcionalmente, o parâmetro KmsKeyId. Se você omitir o KmsKeyId, o snapshot resultante será criptografado pela Chave do KMS padrão. É necessário especificar o ID de uma chave do KMS de criptografia para criptografar o volume para uma chave do KMS de criptografia simétrica diferente.
O diagrama a seguir ilustra o processo.
É possível criptografar um volume do EBS ao copiar um snapshot não criptografado em um snapshot criptografado e criar um volume a partir do snapshot criptografado. Para obter mais informações, consulte Copiar um snapshot do Amazon EBS..
Copiar um snapshot não criptografado (criptografia por padrão habilitada)
Quando a criptografia por padrão estiver habilitada, a criptografia é obrigatória para cópias de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário se a Chave do KMS padrão for usada. O diagrama a seguir ilustra este caso padrão:
Criptografar novamente um volume criptografado
Quando a ação CreateVolume opera em um snapshot criptografado, você tem a opção de criptografá-lo novamente com uma Chave do KMS diferente. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a criação do volume, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são automaticamente descriptografados e, depois, novamente criptografados pela Chave do KMS B.
Para obter mais informações, consulte Criar um volume a partir de um snapshot.
Criptografar novamente um snapshot criptografado
A capacidade de criptografar um snapshot durante a cópia permite aplicar uma nova Chave do KMS de criptografia simétrica a um snapshot já criptografado de sua propriedade. Os volumes restaurados da cópia resultante só são acessíveis usando a nova Chave do KMS. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a cópia, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são novamente criptografados de forma automática pela Chave do KMS B.
Em um cenário relacionado, é possível optar por aplicar novos parâmetros de criptografia a uma cópia de um snapshot que tenha sido compartilhado com você. Por padrão, a cópia é criptografada com uma Chave do KMS compartilhada pelo proprietário do snapshot. No entanto, recomendamos que você crie uma cópia do snapshot compartilhado usando uma Chave do KMS diferente que esteja sob seu controle. Isso protegerá seu acesso ao volume se a Chave do KMS original estiver comprometida ou se o proprietário revogar a Chave do KMS por algum motivo. Para obter mais informações, consulte Cópia de snapshot e criptografia.
Migrar dados entre volumes criptografados e não criptografados
Quando você tem acesso a volumes criptografados e não criptografados, pode transferir livremente dados entre eles. O EC2 realiza as operações de criptografia ou descriptografia de forma transparente.
Por exemplo: use o comando rsync para copiar os dados. No comando a seguir, os dados de origem estão localizados em /mnt/source e o volume de destino está montado em /mnt/destination.
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
Por exemplo: use o comando robocopy para copiar os dados. No comando a seguir, os dados de origem estão localizados em D:\ e o volume de destino está montado em E:\.
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
É recomendável usar pastas, em vez de copiar um volume inteiro, para evitar possíveis problemas com pastas ocultas.
Resultados da criptografia
A tabela a seguir descreve o resultado da criptografia para cada combinação possível de configurações.
| A criptografia está ativada? | A criptografia está ativada por padrão? | Origem do volume | Padrão (nenhuma chave gerenciada pelo cliente especificada) | Personalizado (chave gerenciada pelo cliente especificada) |
|---|---|---|---|---|
| Não | Não | Novo volume (vazio) | Não criptografado | N/D |
| Não | Não | Snapshot não criptografado pertencente a você | Não criptografado | |
| Não | Não | Snapshot criptografado pertencente a você | Criptografado pela mesma chave | |
| Não | Não | Snapshot não criptografado compartilhado com você | Não criptografado | |
| Não | Não | Snapshot criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente* | |
| Sim | Não | Novo volume | Criptografado por chave padrão gerenciada pelo cliente | Criptografado por uma chave gerenciada pelo cliente especificada** |
| Sim | Não | Snapshot não criptografado pertencente a você | Criptografado por chave padrão gerenciada pelo cliente | |
| Sim | Não | Snapshot criptografado pertencente a você | Criptografado pela mesma chave | |
| Sim | Não | Snapshot não criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente | |
| Sim | Não | Snapshot criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente | |
| Não | Sim | Novo volume (vazio) | Criptografado por chave padrão gerenciada pelo cliente | N/D |
| Não | Sim | Snapshot não criptografado pertencente a você | Criptografado por chave padrão gerenciada pelo cliente | |
| Não | Sim | Snapshot criptografado pertencente a você | Criptografado pela mesma chave | |
| Não | Sim | Snapshot não criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente | |
| Não | Sim | Snapshot criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente | |
| Sim | Sim | Novo volume | Criptografado por chave padrão gerenciada pelo cliente | Criptografado por uma chave gerenciada pelo cliente especificada |
| Sim | Sim | Snapshot não criptografado pertencente a você | Criptografado por chave padrão gerenciada pelo cliente | |
| Sim | Sim | Snapshot criptografado pertencente a você | Criptografado pela mesma chave | |
| Sim | Sim | Snapshot não criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente | |
| Sim | Sim | Snapshot criptografado compartilhado com você | Criptografado por chave padrão gerenciada pelo cliente |
* Essa é a chave padrão gerenciada pelo cliente usada para criptografia do EBS para a AWS conta e a região. Por padrão, isso é exclusivo Chave gerenciada pela AWS para o EBS, ou você pode especificar uma chave gerenciada pelo cliente. Para ter mais informações, consulte Selecionar uma chave do KMS para criptografia do EBS.
** Esta é uma chave gerenciada pelo cliente especificada para o volume no momento do lançamento. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a AWS conta e a região.
