Amazon Elastic Compute Cloud
Windows 实例用户指南

Amazon EBS Encryption

Amazon EBS 加密 提供了直接用于 EBS 资源的加密解决方案,无需您构建、维护和保护自己的密钥管理基础设施。它在创建加密卷和快照时使用 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK)。

加密操作在托管 EC2 实例的服务器上进行,用于确保静态数据安全性以及在实例和其附加的 EBS 存储之间传输的数据的安全性。

EBS 加密的工作原理

您可以加密 EC2 实例的引导卷和数据卷。在创建加密的 EBS 卷并将其附加到支持的实例类型后,将对以下类型的数据进行加密:

  • 卷中的静态数据

  • 在卷和实例之间移动的所有数据

  • 从卷创建的所有快照

  • 从这些快照创建的所有卷

EBS 通过行业标准的 AES-256 算法,利用数据密钥加密您的卷。您的数据密钥与您的加密数据一起存储在磁盘上,但并非在 EBS 利用您的 CMK 对数据密钥进行加密之前。数据密钥绝不会以纯文本形式出现在磁盘上。同一数据密钥将由从这些快照创建的卷和后续卷的快照共享。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的数据密钥

Amazon EBS 与 AWS KMS 结合使用以加密和解密您的 EBS 卷,如下所示:

  1. Amazon EBS 将 CreateGrant 请求发送到 AWS KMS,以便它能够解密数据密钥。

  2. Amazon EBS 将 GenerateDataKeyWithoutPlaintext 请求发送到 AWS KMS,同时指定用于加密卷的 CMK。

  3. AWS KMS 生成一个新的数据密钥,使用指定的 CMK 对其进行加密,并将加密的数据密钥发送给 Amazon EBS,以便与卷元数据一起存储。

  4. 当您将加密卷附加到实例时,Amazon EBS 将 Decrypt 请求发送到 AWS KMS,同时指定加密的数据密钥。

  5. AWS KMS 解密加密的数据密钥,然后将解密的数据密钥发送到 Amazon EBS。

  6. Amazon EBS 使用管理程序内存中的明文数据密钥来加密卷的磁盘 I/O。只要卷附加到实例,纯文本数据密钥就会保留在内存中。

有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMSAWS KMS 日志文件条目

要求

在您开始之前,确认您满足以下要求。

支持的卷类型

所有 EBS 卷类型都支持加密。您可能希望加密卷具有与未加密卷相同的 IOPS 性能,同时对延迟的影响最低。您可以采用与访问未加密卷相同的方式来访问加密卷。加密和解密是以透明方式处理的,并且不需要您或您的应用程序执行额外操作。

支持的实例类型

Amazon EBS 加密 适用于以下所列的实例类型。您可以同时将加密卷和未加密卷附加到这些实例类型。

  • 通用:M3、M4、M5、M5a、M5ad、M5d、M5dn、M5n、T2、T3 和 T3a

  • 计算优化:C3、C4、C5、C5d 和 C5n

  • 内存优化:cr1.8xlarge、R3、R4、R5、R5a、R5ad、R5d、R5dn、R5n、u-6tb1.metalu-9tb1.metalu-12tb1.metalu-18tb1.metalu-24tb1.metal、X1、X1e 和 z1d

  • 存储优化:D2、h1.2xlargeh1.4xlarge、I2、I3 和 I3en

  • 加速计算:F1、G2、G3、G4、P2 和 P3

IAM 用户的权限

当您将 CMK 配置为用于 EBS 加密的默认密钥时,默认密钥策略允许任何有权访问所需 KMS 操作的 IAM 用户使用此密钥加密或解密 EBS 资源。您必须授予 IAM 用户调用以下操作的权限才能使用 EBS 加密:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 AWS 服务代表用户创建授权时,才允许用户在 CMK 上创建授权,如以下示例所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }

有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的默认密钥策略

用于 EBS 加密的默认密钥

Amazon EBS 自动在您存储 AWS 资源的每个区域中创建唯一的 AWS 托管 CMK。此密钥具有别名 alias/aws/ebs。默认情况下,Amazon EBS 使用此密钥进行加密。或者,您也可以将您创建的客户托管 CMK 指定为用于 EBS 加密的默认密钥。使用您自己的 CMK 可以提高灵活性,包括提供创建、轮换和禁用密钥的能力。

针对某个区域配置用于 EBS 加密的默认密钥

  1. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  2. 从导航栏中选择区域。

  3. 依次选择 Account Attributes (账户属性)Settings (设置)

  4. 选择 Change the default key (更改默认密钥),然后选择可用密钥。

  5. 选择 Update (更新)

默认加密

您可以配置 AWS 账户对您创建的新 EBS 卷和快照副本进行加密。例如,Amazon EBS 加密当您启动实例时创建的 EBS 卷以及您从未加密的快照复制的快照。有关从未加密转换为加密 EBS 资源的示例,请参阅加密未加密的资源

默认情况下,加密对现有 EBS 卷或快照没有影响。

注意事项

  • 默认加密是区域特定的设置。如果您为某个区域启用了它,则无法为该区域中单独的卷或快照禁用。

  • 当您启用默认加密时,您只能在实例类型支持 EBS 加密时启动实例。有关更多信息,请参阅 支持的实例类型

  • 在使用 AWS Server Migration Service (SMS) 迁移服务器时,默认情况下不会启用加密。如果默认情况下已启用加密,并且您遇到增量复制失败,请默认关闭加密。改为在创建复制作业时启用 AMI 加密。

默认为某个区域启用加密

  1. 打开 Amazon EC2 控制台 https://console.aws.amazon.com/ec2/

  2. 从导航栏中选择区域。

  3. 从导航窗格中,选择 EC2 控制面板

  4. 在页面的右上角,选择账户属性,然后选择设置

  5. EBS Storage (EBS 存储) 下,选择 Always encrypt new EBS volumes (始终加密新的 EBS 卷)

  6. 选择 Update (更新)

您无法更改与现有快照或加密卷关联的 CMK。但是,您可在快照复制操作期间关联另一个 CMK,从而使生成的已复制快照由新 CMK 进行加密。

加密 EBS 资源

您可以通过启用加密来加密 EBS 卷:使用默认加密,或者在创建要加密的卷时启用加密。

加密卷时,可以指定用于加密卷的 CMK。如果未指定 CMK,则用于加密的密钥取决于源快照的加密状态及其所有权。有关更多信息,请参阅加密结果表

您无法更改与现有快照或卷关联的 CMK。但是,您可在快照复制操作期间关联另一个 CMK,从而使生成的已复制快照由新 CMK 进行加密。

创建具有加密的新空卷

创建新的空 EBS 卷时,可以通过为特定卷创建操作启用加密来对其进行加密。如果您默认启用了 EBS 加密,则会自动加密卷。默认情况下,已使用用于 EBS 加密的默认密钥对卷加密。或者,您可以为特定的卷创建操作指定不同的 CMK。卷从其首次可用时开始加密,因此您的数据始终安全。有关详细步骤,请参阅创建 Amazon EBS 卷

默认情况下,您在创建卷时选择的 CMK 会对从该卷拍摄的快照加密,并对从这些加密的快照还原的卷加密。您无法从加密卷或快照删除加密,这意味着从加密快照还原的卷或者加密快照的副本始终加密。

加密卷的快照无法公开,但您可以与特定账户共享加密快照。有关详细指导,请参阅共享 Amazon EBS 快照

加密未加密的资源

虽然没有直接的方法可以加密现有的未加密卷或快照,但您可以通过创建卷或快照来加密它们。如果您启用了默认加密,Amazon EBS 使用您用于 EBS 加密的默认密钥对生成的新卷或快照实施加密。即使您未启用默认加密,也可以在创建单个卷或快照时启用加密。无论是启用默认加密还是在单独创建操作中启用加密,您都可以覆盖用于 EBS 加密的默认密钥并选择客户托管的 CMK。有关更多信息,请参阅 创建 Amazon EBS 卷复制 Amazon EBS 快照

要将快照副本加密到客户托管的 CMK,您必须同时启用加密并指定密钥,如复制未加密的快照(未启用默认加密)中所示。

在从由 EBS 支持的 AMI 启动实例时,您还可以应用新的加密状态。这是因为 EBS 支持的 AMI 包括可以按照所述进行加密的 EBS 卷的快照。有关更多信息,请参阅 将加密与 EBS 支持的 AMI 结合使用

加密方案

创建加密 EBS 资源时,除非您在卷创建参数或 AMI 或实例的块设备映射中指定了不同的客户托管 CMK,否则它将使用您账户的用于 EBS 加密的默认密钥进行加密。有关更多信息,请参阅 用于 EBS 加密的默认密钥

以下示例说明如何管理卷和快照的加密状态。有关加密案例的完整列表,请参阅加密结果表

还原未加密的卷(未启用默认加密)

未启用默认加密时,从未加密快照还原的卷在默认情况下不加密。但是,您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的卷。下图说明了该过程。

如果您省略 KmsKeyId 参数,则将使用您用于 EBS 加密的默认密钥加密生成的卷。您必须指定密钥 ID 以使用不同的 CMK 加密卷。

有关更多信息,请参阅 从快照还原 Amazon EBS 卷

还原未加密的卷(启用了默认加密)

在您启用了默认加密时,从未加密快照还原的卷必须加密,无需使用默认 CMK 的加密参数。下图说明了这种简单默认案例:

如果您要将还原的卷加密到客户托管 CMK,则必须提供 EncryptedKmsKeyId 参数,如还原未加密的卷(未启用默认加密)中所示。

复制未加密的快照(未启用默认加密)

未启用默认加密时,未加密快照的副本在默认情况下不加密。但是,您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的快照。如果省略 KmsKeyId,则使用默认 CMK 加密生成的快照。您必须指定密钥 ID 以使用不同的 CMK 加密卷。

下图说明了该过程。


                    从未加密快照创建加密快照。

注意

如果快照复制到新的 CMK 并将其加密,将始终创建完整(非增量)副本,从而导致额外的延迟和存储成本。

您可以将未加密的快照复制到加密的快照,然后从加密的快照中创建卷来加密 EBS 卷。有关更多信息,请参阅 复制 Amazon EBS 快照

复制未加密的快照(启用了默认加密)

在您启用了默认加密时,未加密快照的副本必须加密,无需使用默认 CMK 的加密参数。下图说明了这种默认情况:


                    从未加密快照创建加密快照。

注意

如果快照复制到新的 CMK 并将其加密,将始终创建完整(非增量)副本,从而导致额外的延迟和存储成本。

重新加密已加密卷

对加密快照执行 CreateVolume 操作时,您可以选择使用不同 CMK 重新加密它。下图说明了该过程。在本例中,您拥有两个 CMK,即 CMK A 和 CMK B。源快照由 CMK A 加密。在卷创建期间,由于 CMK B 的密钥 ID 被指定为一个参数,因此源数据被自动解密,然后由 CMK B 重新加密。


                    复制加密快照并将副本加密到新密钥。

注意

如果快照复制到新的 CMK 并将其加密,将始终创建完整(非增量)副本,从而导致额外的延迟和存储成本。

有关更多信息,请参阅 从快照还原 Amazon EBS 卷

重新加密已加密快照

由于能够在复制过程中加密快照,您可以将新 CMK 应用于您拥有的已加密过的快照。从生成的副本还原的卷只能使用新的 CMK 进行访问。下图说明了该过程。在本例中,您拥有两个 CMK,即 CMK A 和 CMK B。源快照由 CMK A 加密。在复制期间,由于 CMK B 的密钥 ID 被指定为一个参数,因此源数据被 CMK B 自动重新加密。


                    复制加密快照并将副本加密到新密钥。

注意

如果快照复制到新的 CMK 并将其加密,将始终创建完整(非增量)副本,从而导致额外的延迟和存储成本。

在相关的场景中,您可以选择将新加密参数应用于已与您共享的快照的副本。默认情况下,系统会使用快照所有者共享的 CMK 对该副本进行加密。但是,我们建议您使用您控制的其他 CMK 创建共享快照的副本。这样,即使原始 CMK 遭到泄露或所有者出于任何原因撤销了 CMK,您也不会失去对卷的访问权限。有关更多信息,请参阅 加密和快照复制

在加密卷与未加密卷之间迁移数据

当您对加密卷和未加密卷都可以访问时,就可以在它们之间自由传输数据了。EC2 透明地执行加密和解密操作。

例如,使用 robocopy 命令复制数据。在以下命令中,源数据位于 D:\ 中,目标卷挂载在 E:\ 中。

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

我们建议使用文件夹而不是复制整个卷,因为这可避免隐藏文件夹的潜在问题。

加密结果

下表描述了每种可能的设置组合的加密结果。

是否启用加密? 是否默认启用加密? 卷源 默认值(不指定 CMK) 自定义(指定 CMK)
新(空)卷 未加密 不适用
您拥有的未加密快照 未加密
您拥有的加密快照 按相同密钥加密
与您共享的未加密快照 未加密
与您共享的加密快照 按默认 CMK 加密*
新卷 按默认 CMK 加密 按指定的 CMK 加密**
您拥有的未加密快照 按默认 CMK 加密
您拥有的加密快照 按相同密钥加密
与您共享的未加密快照 按默认 CMK 加密
与您共享的加密快照 按默认 CMK 加密
新(空)卷 按默认 CMK 加密
您拥有的未加密快照 按默认 CMK 加密 不适用
您拥有的加密快照 按相同密钥加密
与您共享的未加密快照 按默认 CMK 加密
与您共享的加密快照 按默认 CMK 加密
新卷 按默认 CMK 加密 按指定的 CMK 加密
您拥有的未加密快照 按默认 CMK 加密
您拥有的加密快照 按相同密钥加密
与您共享的未加密快照 按默认 CMK 加密
与您共享的加密快照 按默认 CMK 加密

* 这是用于对 AWS 账户和区域进行 EBS 加密的默认 CMK。默认情况下,这是用于 EBS 的唯一 AWS 托管 CMK,您也可以指定自定义的托管 CMK。有关更多信息,请参阅 用于 EBS 加密的默认密钥

** 这是在发布时为卷指定的客户托管的 CMK。此 CMK 替代默认的 CMK 用于 AWS 账户和区域。

使用 API 和 CLI 设置加密默认值

您可以使用以下 API 操作和 CLI 命令默认管理加密和默认客户主密钥 (CMK)。

API 操作 CLI 命令 描述

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

默认禁用加密。

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

默认启用加密。

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

描述默认 CMK。

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

指示是否默认启用了加密。

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

更改用于加密 EBS 卷的默认 CMK。

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

将 AWS 托管默认 CMK 重置为用于加密 EBS 卷的默认 CMK。