本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 Amazon ECS 加密存儲在 Amazon EBS 卷中的數據
您可以使用 AWS Key Management Service (AWS KMS) 來製作和管理保護資料的加密金鑰。Amazon EBS 磁碟區會在靜態時使用 AWS KMS keys加密。以下類型的數據被加密:
-
儲存在磁碟區上靜態的資料
-
磁碟 I/O
-
從磁碟區建立的快照
-
從快照建立的新磁碟區
您可以預設設定 Amazon EBS 加密,以便使用為帳戶設定的 KMS 金鑰加密建立並連接到任務的所有新磁碟區。如需有關預設情況下 Amazon EBS 加密和加密的詳細資訊,請參閱 Amazon EC2 使用者指南中的 Amazon EBS 加密。
附加到任務的 Amazon EBS 磁碟區可以使用別名alias/aws/ebs的預設值或對稱 AWS 受管金鑰 的客戶受管金鑰來加密。每個預設值對 AWS 帳戶 每個都 AWS 受管金鑰 是唯一的, AWS 區域 並且會自動建立。若要建立對稱的客戶受管金鑰,請遵循AWS KMS 開發人員指南中建立對稱加密 KMS 金鑰中的步驟。
客戶受管 KMS 金鑰政策
若要使用客戶受管金鑰加密連接至工作的 EBS 磁碟區,您必須設定 KMS 金鑰政策,以確保用於磁碟區組態的 IAM 角色具有使用金鑰的必要權限。金鑰原則必須包含kms:CreateGrant和kms:GenerateDataKey*權限。kms:ReEncryptTo和kms:ReEncryptFrom權限對於加密使用快照建立的磁碟區是必要的。如果您只想為附件設定和加密新的空白磁碟區,您可以排除kms:ReEncryptTo和kms:ReEncryptFrom權限。
下列 JSON 程式碼片段顯示您可以附加至 KMS 金鑰原則的金鑰原則陳述式。使用這些陳述式將提供 ECS 使用金鑰來加密 EBS 磁碟區的存取權。若要使用範例原則陳述式,請以您自己user input placeholders
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:DescribeKey", "Resource":"*" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": [ "kms:GenerateDataKey*", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ecsInfrastructureRole" }, "Action": "kms:CreateGrant", "Resource":"*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "ec2.region.amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:ebs:id" }, "Bool": { "kms:GrantIsForAWSResource": true } } }
如需關鍵原則和權限的詳細資訊,請參閱AWS KMS 開發人員指南中的主要原則 AWS KMS和AWS KMS 權限。如需疑難排解與金鑰權限相關的 EBS 磁碟區附件問題,請參閱對 Amazon ECS 任務的 Amazon EBS 磁碟區附件進行疑難排解 。
