选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

Amazon EBS 加密的工作原理

PDF
RSS
聚焦模式
Amazon EBS 加密的工作原理 - Amazon EBS
快照加密时 EBS 加密的工作原理快照未加密时 EBS 加密的工作原理不可用的 KMS 密钥如何影响数据密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以加密 EC2 实例的启动卷和数据卷。

在创建加密的 EBS 卷并将其附加到支持的实例类型后,将对以下类型的数据进行加密:

  • 卷中的静态数据

  • 在卷和实例之间移动的所有数据

  • 从卷创建的所有快照

  • 从这些快照创建的所有卷

Amazon EBS 通过数据密钥使用行业标准的 AES-256 数据加密来加密卷。数据密钥由生成, AWS KMS 然后 AWS KMS 使用 AWS KMS 密钥进行加密,然后再与您的卷信息一起存储。Amazon EBS 会在您创建亚马逊 EBS 资源的每个区域自动创建唯一 AWS 托管式密钥 的。KMS 密钥的别名aws/ebs。默认情况下,Amazon EBS 使用此 KMS 密钥 进行加密。或者,您可以使用自己创建的对称客户管理加密密钥。使用您自己的 KMS 密钥 可以提高灵活性,包括提供创建、轮换和禁用 KMS 密钥 的能力。

Amazon EC2 AWS KMS 与您合作加密和解密您的 EBS 卷的方式略有不同,具体取决于您创建加密卷时使用的快照是加密还是未加密。

快照加密时 EBS 加密的工作原理

当您使用自己拥有的加密快照创建加密卷时,Amazon 会按 EC2如下方式 AWS KMS 对您的 EBS 卷进行加密和解密:

  1. Amazon EC2 向发送GenerateDataKeyWithoutPlaintext请求 AWS KMS,指定您为批量加密选择的 KMS 密钥。

  2. 如果使用与快照相同的 KMS 密钥对卷进行加密,则 AWS KMS 使用与快照相同的数据密钥并使用相同的 KMS 密钥对其进行加密。如果使用不同的 KMS 密钥对卷进行加密,则 AWS KMS 会生成新的数据密钥并使用您指定的 KMS 密钥对其进行加密。加密的数据密钥会发送到 Amazon EBS,并与卷元数据存储在一起。

  3. 当您将加密卷附加到实例时,Amazon EC2 会向发送CreateGrant请求, AWS KMS 以便它可以解密数据密钥。

  4. AWS KMS 解密加密的数据密钥并将解密后的数据密钥发送给 Amazon。 EC2

  5. Amazon EC2 使用 Nitro 硬件中的明文数据密钥来加密该卷的磁盘 I/O。只要卷附加到实例,纯文本数据密钥就会保留在内存中。

快照未加密时 EBS 加密的工作原理

当您使用未加密的快照创建加密卷时,Amazon 会按 EC2 如下方式 AWS KMS 对您的 EBS 卷进行加密和解密:

  1. Amazon EC2 向发送CreateGrant请求 AWS KMS,以便它可以加密根据快照创建的卷。

  2. Amazon EC2 向发送GenerateDataKeyWithoutPlaintext请求 AWS KMS,指定您为批量加密选择的 KMS 密钥。

  3. AWS KMS 生成新的数据密钥,使用您为卷加密选择的 KMS 密钥对其进行加密,然后将加密的数据密钥发送到 Amazon EBS,以便与卷元数据一起存储。

  4. Amazon EC2 向发送解密请求 AWS KMS 以解密加密的数据密钥,然后使用该密钥对卷数据进行加密。

  5. 当您将加密卷附加到实例时,Amazon EC2 会向发送CreateGrant请求 AWS KMS,以便它可以解密数据密钥。

  6. 当您将加密卷附加到实例时,Amazon EC2 会向发送解密请求 AWS KMS,指定加密的数据密钥。

  7. AWS KMS 解密加密的数据密钥并将解密后的数据密钥发送给 Amazon。 EC2

  8. Amazon EC2 使用 Nitro 硬件中的明文数据密钥来加密该卷的磁盘 I/O。只要卷附加到实例,纯文本数据密钥就会保留在内存中。

有关更多信息,请参阅开发者指南中的亚马逊 Elastic Block Store (Amazon EBS) 的使用方式 AWS KMS EC2亚马逊示例二。AWS Key Management Service

不可用的 KMS 密钥如何影响数据密钥

当 KMS 密钥不可用时,您可以立即发现(取决于最终一致性)。KMS 密钥的密钥状态会出现变更,以反映其新情况,并且加密操作中使用 KMS 密钥的所有请求都将失败。

当您执行使 KMS 密钥不可用的操作时,不会立即对 EC2 实例或连接的 EBS 卷产生影响。当卷连接到实例时,Amazon EC2 使用数据密钥而不是 KMS 密钥来加密所有磁盘 I/O。

但是,当加密的 EBS 卷与 EC2 实例分离时,Amazon EBS 会从 Nitro 硬件中删除数据密钥。下次将加密的 EBS 卷连接到 EC2 实例时,连接会失败,因为 Amazon EBS 无法使用 KMS 密钥来解密该卷的加密数据密钥。要再次使用 EBS 卷,您必须使该 KMS 密钥可重新使用。

提示

如果您不再希望访问存储在 EBS 卷中的数据,该数据使用由 KMS 密钥生成的数据密钥进行加密,但您打算使其无法使用,我们建议您在使 KMS 密钥不可用之前将 EBS 卷与 EC2 实例分离。

有关更多信息,请参见《AWS Key Management Service 开发人员指南》中的不可用的 KMS 密钥如何影响数据密钥

本页内容

下一主题:

要求

上一主题:

EBS 加密

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。