使用加密
使用 StartSnapshot 开启新快照时,加密状态取决于为 Encrypted、KmsKeyArn 和 ParentSnapshotId 指定的值,以及 AWS 账户是否已启用默认加密。
注意
-
您可能需要其他 IAM 权限才能对 EBS direct API 使用加密。有关更多信息,请参阅 AWS KMS keys 使用权限。
-
如果 AWS 账户默认启用了 Amazon EBS 加密,则您无法创建未加密的快照。
-
如果 AWS 账户默认启用了 Amazon EBS 加密,则您无法使用未加密父快照来开启新快照。您必须首先通过复制父快照来对其进行加密。有关更多信息,请参阅复制 Amazon EBS 快照。
加密结果:未加密父快照
下表描述了指定未加密父快照时每种可能的设置组合的加密结果。
| ParentSnapshotId | 已加密 | KmsKeyArn | 默认加密 | 结果 |
|---|---|---|---|---|
| 未加密 | 已忽略 | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | 快照未加密。 | |||
| 指定 | 已启用 | |||
| 已禁用 | ||||
| 未加密 | True | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | ||||
| 指定 | 已启用 | |||
| 已禁用 | ||||
| 未加密 | False | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | ||||
| 指定 | 已启用 | |||
| 已禁用 |
加密结果:已加密父快照
下表描述了指定已加密父快照时每种可能的设置组合的加密结果。
| ParentSnapshotId | 已加密 | KmsKeyArn | 默认加密 | 结果 |
|---|---|---|---|---|
| 已加密 | 已忽略 | 已忽略 | 已启用 | 已使用与父快照相同的 KMS 密钥对快照进行加密。 |
| 已禁用 | ||||
| 指定 | 已启用 | 请求失败并显示 ValidationException。 |
||
| 已禁用 | ||||
| 已加密 | True | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | ||||
| 指定 | 已启用 | |||
| 已禁用 | ||||
| 已加密 | False | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | ||||
| 指定 | 已启用 | |||
| 已禁用 |
加密结果:无父快照
下表描述了未使用父快照时每种可能的设置组合的加密结果。
| ParentSnapshotId | 已加密 | KmsKeyArn | 默认加密 | 结果 |
|---|---|---|---|---|
| 已忽略 | True | 已忽略 | 已启用 | 已使用账户的默认 KMS 密钥对快照进行加密。* |
| 已禁用 | ||||
| 指定 | 已启用 | 已使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。 | ||
| 已禁用 | ||||
| 已忽略 | False | 已忽略 | 已启用 | 请求失败并显示 ValidationException。 |
| 已禁用 | 快照未加密。 | |||
| 指定 | 已启用 | 请求失败并显示 ValidationException。 |
||
| 已禁用 | ||||
| 已忽略 | 已忽略 | 已忽略 | 已启用 | 已使用账户的默认 KMS 密钥对快照进行加密。* |
| 已禁用 | 快照未加密。 | |||
| 指定 | 已启用 | 已使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。 | ||
| 已禁用 |
*此默认 KMS 密钥可以是客户托管式密钥或用于 Amazon EBS 加密的默认 AWS 托管式 KMS 密钥。
