本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EBS 加密
使用 Amazon EBS 加密做為與 Amazon EC2 執行個體相關聯的 Amazon EBS 資源的直接加密解決方案。使用 Amazon EBS 加密,您不需要建置、維護或保護自己的金鑰管理基礎設施。在建立加密磁碟區和快照時,Amazon EBS 加密會使用 AWS KMS keys 。
加密操作會在主控 EC2 執行個體的伺服器上進行,確保執行個體和與其連接之 EBS 儲存體間待用資料和傳輸中資料的安全。
您可以將加密和未加密磁碟區同時連接到執行個體。所有 Amazon EC2 執行個體類型都支援 Amazon EBS 加密。
目錄
加密 EBS 資源
當您建立想要加密的磁碟區時,可透過啟用加密來加密 EBS 磁碟區或使用 預設加密 來啟用加密。
當您加密磁碟區時,您可指定使用對稱加密 KMS 金鑰 來加密磁碟區。如果您未指定 KMS 金鑰,則用於加密的 KMS 金鑰 取決於來源快照的加密狀態及其擁有權。如需詳細資訊,請參閱 加密結果表。
注意
如果您使用 API 或 AWS CLI 指定 KMS 金鑰,請注意 會以非同步方式 AWS 驗證 KMS 金鑰。因此,如果您指定的 KMS 金鑰 ID、別名或 ARN 無效,則動作雖顯示完成,但最終會失敗。
您不能變更與現有快照或磁碟區相關聯的 KMS 金鑰。但是,您可以在快照複製操作中建立與不同 KMS 金鑰 的關聯,讓複製後的快照使用新的 KMS 金鑰 來加密。
在建立時加密空白磁碟區
當您建立新的、空的 EBS 磁碟區,您可以透過對特定磁碟區建立操作來啟用加密。如果預設為啟用 EBS 加密,則會使用 EBS 加密的預設 KMS 金鑰 來自動加密磁碟區。您也可以為特定的磁碟區建立作業指定不同的對稱加密 KMS 金鑰。磁碟區在第一次可用時即會加密,因此您的資料始終受到保護。如需詳細程序,請參閱建立 Amazon EBS 磁碟區。
依預設,您在建立磁碟區時選取的 KMS 金鑰 會加密您從其中產生的磁碟區,以及您從那些加密快照還原的磁碟區。您無法從已加密磁碟區或快照移除加密,這表示從已加密快照還原的磁碟區,或已加密快照的複本「一律」加密。
雖然無法支援加密磁碟區的公有快照,但您可以和特定帳戶共享加密快照。如需詳細指示,請參閱 與其他 AWS 帳戶共用 Amazon EBS 快照。
加密未加密的資源
您無法直接加密現有的未加密磁碟區或快照。不過,您可以使用未加密的磁碟區或快照來建立加密的磁碟區或快照。如果您啟用預設加密,則 Amazon EBS 會使用預設 KMS 金鑰進行 EBS 加密,以此方式自動加密新的磁碟區及快照。您也可以在建立獨立的磁碟區或快照時啟用加密,藉此使用預設的 KMS 金鑰進行 Amazon EBS 加密,或使用對稱的客戶受管加密金鑰。如需詳細資訊,請參閱 建立 Amazon EBS 磁碟區 及 複製 Amazon EBS 快照。
若要以 受客戶管理的金鑰 將快照複本加密,則您必須同時啟用加密並指定 KMS 金鑰,如 複製未加密快照 (未啟用預設加密) 所示。
重要
Amazon EBS 不支援非對稱加密 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 使用對稱和非對稱加密 KMS 金鑰。
從 EBS 後端 AMI 啟動執行個體時,您也可以套用新的加密狀態。這是因為 EBS 後端 AMI 包括可依所述加密之 EBS 磁碟區的快照。如需詳細資訊,請參閱搭配 EBS 後端 AMIs 使用加密。
