Como trabalhar com a criptografia do Amazon EBS

Use os procedimentos a seguir para trabalhar com a criptografia do Amazon EBS.

Selecionar uma chave do KMS para criptografia do EBS

O Amazon EBS cria automaticamente um exclusivo Chave gerenciada pela AWS em cada região em que você armazena AWS recursos. Essa Chave do KMS tem o alias alias/aws/ebs. Por padrão, o Amazon EBS usa essa Chave do KMS para a criptografia. Como alternativa, é possível especificar uma chave de criptografia simétrica gerenciada pelo cliente criada como chave padrão do KMS para a criptografia EBS. Usar sua própria Chave do KMS oferece a você mais flexibilidade, incluindo a capacidade de criar, alternar e desabilitar Chaves do KMS.

Importante

O Amazon EBS não é compatível com chaves do KMS assimétricas. Para obter mais informações, consulte Uso de chaves do KMS de criptografia simétricas e assimétricas no Guia do desenvolvedor do AWS Key Management Service .

Amazon EC2 console

Como configurar a Chave do KMS padrão para a criptografia do EBS em uma região

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

2. Na barra de navegação, selecione a região.

3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

4. No canto superior direito da página, escolha Atributos da conta, Proteção de dados e segurança.

5. Escolha Gerenciar.

6. Para a Chave de criptografia padrão, escolha uma chave de criptografia simétrica gerenciada pelo cliente.

7. Escolha Update EBS encryption (Atualizar criptografia do EBS).

Habilitar a criptografia por padrão

Você pode configurar sua AWS conta para aplicar a criptografia dos novos volumes do EBS e das cópias de snapshot que você criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte Criptografar recursos não criptografados.

Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes.

Considerações

• A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.

• A criptografia do Amazon EBS é compatível, por padrão, com todos os tipos de instância da geração atual e da geração anterior.

• Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.

• Ao migrar servidores usando AWS Server Migration Service (SMS), não ative a criptografia por padrão. Se a criptografia por padrão já estiver ativada, e você estiver enfrentando falhas de replicação delta, desative a criptografia por padrão. Em vez disso, habilite a criptografia de AMI ao criar o trabalho de replicação.

Amazon EC2 console

Para ativar a criptografia por padrão para uma região

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

2. Na barra de navegação, selecione a região.

3. No painel de navegação, selecione EC2 Dashboard (Painel do EC2).

4. No canto superior direito da página, escolha Atributos da conta, Proteção de dados e segurança.

5. Escolha Gerenciar.

6. Selecione Enable (Habilitar). Você mantém o Chave gerenciada pela AWS com o alias alias/aws/ebs criado em seu nome como a chave de criptografia padrão ou escolhe uma chave de criptografia simétrica gerenciada pelo cliente.

7. Escolha Update EBS encryption (Atualizar criptografia do EBS).

AWS CLI

Para visualizar a criptografia por configuração padrão

• Para uma região específica

  $ aws ec2 get-ebs-encryption-by-default --region region

• Para todas as regiões em sua conta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Para habilitar a criptografia por padrão

• Para uma região específica

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Para todas as regiões em sua conta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

Para desabilitar a criptografia por padrão

• Para uma região específica

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Para todas as regiões em sua conta

  $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done

PowerShell

Para visualizar a criptografia por configuração padrão

• Para uma região específica

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Para todas as regiões em sua conta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Para habilitar a criptografia por padrão

• Para uma região específica

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Para todas as regiões em sua conta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Para desabilitar a criptografia por padrão

• Para uma região específica

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Para todas as regiões em sua conta

  PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Não é possível alterar a Chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.

Gerenciar a criptografia por padrão usando a API e a CLI

É possível gerenciar a criptografia por padrão e a Chave do KMS padrão usando os comandos da CLI e ações de API a seguir.

Ação de API	Comando da CLI	Descrição
DisableEbsEncryptionByDefault	disable-ebs-encryption-by-padrão	Desativa a criptografia por padrão.
EnableEbsEncryptionByDefault	enable-ebs-encryption-by-padrão	Ativa a criptografia por padrão.
GetEbsDefaultKmsKeyId	get-ebs-default-kms-ID da chave	Descreve a Chave do KMS padrão.
GetEbsEncryptionByDefault	get-ebs-encryption-by-padrão	Indica se a criptografia por padrão está ativada.
ModifyEbsDefaultKmsKeyId	modify-ebs-default-kms-ID da chave	Altera a Chave do KMS padrão usada para criptografar volumes do EBS.
ResetEbsDefaultKmsKeyId	reset-ebs-default-kms-ID da chave	Redefine a Chave gerenciada pela AWS como chave KMS padrão usada para criptografar volumes do EBS.