Amazon EBS 卷加密 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EBS 卷加密

Amazon EBS 提供卷加密功能。每个卷都使用 AES-256-XTS 进行加密。这需要两个 256 位的卷密钥,您可以将其视为一个 512 位的卷密钥。卷密钥在您账户中的 KMS 密钥下进行加密。要使 Amazon EBS 为您加密卷,必须具有账户中 KMS 密钥下生成卷密钥 (VK) 的访问权限。为此,您可以向 Amazon EBS 授权 KMS 密钥,从而生成数据密钥以及加密和解密这些卷密钥。现在,Amazon EBS AWS KMS 使用 KMS 密钥来生成 AWS KMS 加密的卷密钥。

使用 AWS KMS 密钥进行亚马逊 EBS 卷加密。

以下工作流对写入 Amazon EBS 卷的数据进行加密:

  1. Amazon EBS 通过 AWS KMS TLS 会话获取 KMS 密钥下的加密卷密钥,并将加密密钥与卷元数据一起存储。

  2. 装入 Amazon EBS 卷后,将检索加密的卷密钥。

  3. AWS KMS 通过 TLS 调用以解密加密的卷密钥。 AWS KMS 识别 KMS 密钥并向队列中的 HSM 发出内部请求以解密加密的卷密钥。 AWS KMS 然后通过 TLS 会话将卷密钥返回到包含您的实例的亚马逊弹性计算云 (Amazon EC2) 主机。

  4. 卷密钥用于加密和解密传入和传出所连接 Amazon EBS 卷的所有数据。Amazon EBS 会保留加密的卷密钥,以备在日后内存中的卷密钥不再可用时使用。

有关使用 KMS 密钥加密亚马逊 EBS 卷的更多信息,请参阅AWS Key Management Service 开发者指南 AWS KMS中的亚马逊 Elastic Block Store 如何使用以及亚马逊用户指南亚马逊 EC2 EC2 用户指南中的 Amazon EBS 加密