As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como trabalhar com a criptografia do Amazon EBS
Use os procedimentos a seguir para trabalhar com a criptografia do Amazon EBS.
Tarefas
Selecionar uma chave do KMS para criptografia do EBS
O Amazon EBS cria automaticamente um exclusivo Chave gerenciada pela AWS em cada região em que você armazena AWS recursos. Essa Chave do KMS tem o alias alias/aws/ebs
. Por padrão, o Amazon EBS usa essa Chave do KMS para a criptografia. Como alternativa, é possível especificar uma chave de criptografia simétrica gerenciada pelo cliente criada como chave padrão do KMS para a criptografia EBS. Usar sua própria Chave do KMS oferece a você mais flexibilidade, incluindo a capacidade de criar, alternar e desabilitar Chaves do KMS.
Importante
O Amazon EBS não é compatível com chaves do KMS assimétricas. Para obter mais informações, consulte Uso de chaves do KMS de criptografia simétricas e assimétricas no Guia do desenvolvedor do AWS Key Management Service .
Habilitar a criptografia por padrão
Você pode configurar sua AWS conta para aplicar a criptografia dos novos volumes do EBS e das cópias de snapshot que você criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte Criptografar recursos não criptografados.
Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes.
Considerações
-
A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.
-
A criptografia do Amazon EBS é compatível, por padrão, com todos os tipos de instância da geração atual e da geração anterior.
-
Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.
-
Ao migrar servidores usando AWS Server Migration Service (SMS), não ative a criptografia por padrão. Se a criptografia por padrão já estiver ativada, e você estiver enfrentando falhas de replicação delta, desative a criptografia por padrão. Em vez disso, habilite a criptografia de AMI ao criar o trabalho de replicação.
Não é possível alterar a Chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
Gerenciar a criptografia por padrão usando a API e a CLI
É possível gerenciar a criptografia por padrão e a Chave do KMS padrão usando os comandos da CLI e ações de API a seguir.
Ação de API | Comando da CLI | Descrição |
---|---|---|
disable-ebs-encryption-by-padrão |
Desativa a criptografia por padrão. |
|
enable-ebs-encryption-by-padrão |
Ativa a criptografia por padrão. |
|
get-ebs-default-kms-ID da chave |
Descreve a Chave do KMS padrão. |
|
get-ebs-encryption-by-padrão |
Indica se a criptografia por padrão está ativada. |
|
modify-ebs-default-kms-ID da chave |
Altera a Chave do KMS padrão usada para criptografar volumes do EBS. |
|
reset-ebs-default-kms-ID da chave |
Redefine a Chave gerenciada pela AWS como chave KMS padrão usada para criptografar volumes do EBS. |