使用加密 - Amazon Elastic Compute Cloud

使用加密

使用 StartSnapshot 开启新快照时,加密状态取决于为 EncryptedKmsKeyArnParentSnapshotId 指定的值,以及 AWS 账户是否已启用默认加密

注意
  • 您可能需要其他 IAM 权限才能对 EBS direct API 使用加密。有关更多信息,请参阅 AWS KMS keys 使用权限

  • 如果 AWS 账户默认启用了 Amazon EBS 加密,则您无法创建未加密的快照。

  • 如果 AWS 账户默认启用了 Amazon EBS 加密,则您无法使用未加密父快照来开启新快照。您必须首先通过复制父快照来对其进行加密。有关更多信息,请参阅复制 Amazon EBS 快照

加密结果:未加密父快照

下表描述了指定未加密父快照时每种可能的设置组合的加密结果。

ParentSnapshotId 已加密 KmsKeyArn 默认加密 结果
未加密 已忽略 已忽略 Enabled 请求失败并显示 ValidationException
已禁用 快照未加密。
指定 Enabled
已禁用
未加密 True 已忽略 Enabled 请求失败并显示 ValidationException
已禁用
指定 Enabled
已禁用
未加密 False 已忽略 Enabled 请求失败并显示 ValidationException
已禁用
指定 Enabled
已禁用

加密结果:已加密父快照

下表描述了指定已加密父快照时每种可能的设置组合的加密结果。

ParentSnapshotId 已加密 KmsKeyArn 默认加密 结果
已加密 已忽略 已忽略 Enabled 已使用与父快照相同的 KMS 密钥对快照进行加密。
已禁用
指定 Enabled 请求失败并显示 ValidationException
已禁用
已加密 True 已忽略 Enabled 请求失败并显示 ValidationException
已禁用
指定 Enabled
已禁用
已加密 False 已忽略 Enabled 请求失败并显示 ValidationException
已禁用
指定 Enabled
已禁用

加密结果:无父快照

下表描述了未使用父快照时每种可能的设置组合的加密结果。

ParentSnapshotId 已加密 KmsKeyArn 默认加密 结果
已忽略 True 已忽略 Enabled 已使用账户的默认 KMS 密钥对快照进行加密。*
已禁用
指定 Enabled 已使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。
已禁用
已忽略 False 已忽略 Enabled 请求失败并显示 ValidationException
已禁用 快照未加密。
指定 Enabled 请求失败并显示 ValidationException
已禁用
已忽略 已忽略 已忽略 Enabled 已使用账户的默认 KMS 密钥对快照进行加密。*
已禁用 快照未加密。
指定 Enabled 已使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。
已禁用

*此默认 KMS 密钥可以是客户托管式密钥或用于 Amazon EBS 加密的默认 AWS 托管式 KMS 密钥。