使用加密 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密

使用启动新快照时 StartSnapshot,加密状态取决于您为 “加密”、“KmsKeyArn” 和 “ParentSnapshotID” 指定的值,以及您的 AWS 账户是否在默认情况下启用了加密功能。

注意
  • 您可能需要其他 IAM 权限才能对 EBS direct API 使用加密。有关更多信息,请参阅 使用权限 AWS KMS keys

  • 如果您的 AWS 账户默认启用 Amazon EBS 加密,则无法创建未加密的快照。

  • 如果您的 AWS 账户默认启用 Amazon EBS 加密,则无法使用未加密的父快照启动新快照。您必须首先通过复制父快照来对其进行加密。有关更多信息,请参阅 复制 Amazon EBS 快照

加密结果:未加密父快照

下表描述了指定未加密父快照时每种可能的设置组合的加密结果。

ParentSnapshot我是 已加密 KmsKeyArn 默认加密 结果
未加密 已忽略 已忽略 已启用 请求失败并显示 ValidationException
已禁用 快照未加密。
指定 已启用
已禁用
未加密 True 已忽略 已启用 请求失败并显示 ValidationException
已禁用
指定 已启用
已禁用
未加密 False 已忽略 已启用 请求失败并显示 ValidationException
已禁用
指定 已启用
已禁用

加密结果:已加密父快照

下表描述了指定已加密父快照时每种可能的设置组合的加密结果。

ParentSnapshot我是 已加密 KmsKeyArn 默认加密 结果
已加密 已忽略 已忽略 已启用 已使用与父快照相同的 KMS 密钥对快照进行加密。
已禁用
指定 已启用 请求失败并显示 ValidationException
已禁用
已加密 True 已忽略 已启用 请求失败并显示 ValidationException
已禁用
指定 已启用
已禁用
已加密 False 已忽略 已启用 请求失败并显示 ValidationException
已禁用
指定 已启用
已禁用

加密结果:无父快照

下表描述了未使用父快照时每种可能的设置组合的加密结果。

ParentSnapshot我是 已加密 KmsKeyArn 默认加密 结果
已忽略 True 已忽略 已启用 已使用账户的默认 KMS 密钥对快照进行加密。*
已禁用
指定 已启用 使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。
已禁用
已忽略 False 已忽略 已启用 请求失败并显示 ValidationException
已禁用 快照未加密。
指定 已启用 请求失败并显示 ValidationException
已禁用
已忽略 已忽略 已忽略 已启用 已使用账户的默认 KMS 密钥对快照进行加密。*
已禁用 快照未加密。
指定 已启用 使用为 KmsKeyArn 指定的 KMS 密钥对快照进行加密。
已禁用

* 此默认 KMS 密钥可以是客户托管密钥,也可以是用于 Amazon EBS 加密的默认 AWS 托管 KMS 密钥。