本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EBS 加密示例
當您建立加密的 EBS 資源時,其會透過您帳戶預設的 EBS 加密 KMS 金鑰 來加密,除非您在磁碟區創建參數中或者 AMI 或執行個體的區塊型設備映射中指定了不同的 受客戶管理的金鑰。如需詳細資訊,請參閱 選取用於 EBS 加密的 KMS 金鑰。
下列範例說明如何管理您磁碟區和快照的加密狀態。如需加密案例的完整清單,請參閱 加密結果表。
範例
還原未加密磁碟區 (未啟用預設加密)
若未啟用預設加密,從未加密快照還原的磁碟區預設為未加密。不過,您可以設定 Encrypted 參數,並選擇性地設定 KmsKeyId 參數,來加密產生的磁碟區。下圖說明此程序。
如果您省略 KmsKeyId 參數,則產生的磁碟區會使用您 EBS 加密的預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同 KMS 金鑰。
如需詳細資訊,請參閱 從快照建立磁碟區。
還原未加密磁碟區 (已啟用預設加密)
如果已啟用預設加密,必須對從未加密快照還原的磁碟區進行加密,而且不需要任何加密參數即可使用預設 KMS 金鑰。下圖顯示這個簡單的預設案例:
如果想要將還原的磁碟區加密為對稱的客戶受管加密金鑰,則您必須同時提供 Encrypted 中顯示的 KmsKeyId 和 還原未加密磁碟區 (未啟用預設加密) 參數。
複製未加密快照 (未啟用預設加密)
若未啟用預設加密,未加密快照的複本預設為未加密。不過,您可以設定 Encrypted 參數,並選擇性地設定 KmsKeyId 參數,來加密產生的快照。如果您省略 KmsKeyId,則產生的快照會以預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同的對稱加密 KMS 金鑰。
下圖說明此程序。
將未加密的快照複製到加密的快照,然後從加密的快照建立磁碟區,即可以加密 EBS 磁碟區。如需詳細資訊,請參閱 複製 Amazon EBS 快照。
複製未加密快照 (已啟用預設加密)
如果已啟用預設加密,則必須對未加密快照的複本進行加密,而且若使用預設 KMS 金鑰,則不需要任何加密參數。下圖說明此預設案例:
重新加密已加密的磁碟區
如果 CreateVolume 動作在已加密快照上運作,您可以選擇使用不同 KMS 金鑰 重新加密。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在建立磁碟區期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動解密,然後以 KMS 金鑰 B 重新加密。
如需詳細資訊,請參閱 從快照建立磁碟區。
重新加密未加密快照
在複製過程中加密快照的功能,可讓您將新的對稱加密 KMS 金鑰 套用至您所擁有的已加密快照。從結果複本還原的磁碟區也只能使用新的 KMS 金鑰 進行存取。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在複製期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動以 KMS 金鑰 B 重新加密。
在相關案例中,您可以選擇將新的加密參數套用到與您共享之快照的複本。根據預設,複本也會使用快照擁有者共享的 KMS 金鑰 進行加密。但是,我們建議您使用由您控制的不同 KMS 金鑰 建立共享快照的複本。這可在原始 KMS 金鑰 洩露時,或是擁有者因各種原因撤銷 KMS 金鑰 時,保護您存取磁碟區的權限。如需詳細資訊,請參閱 加密和快照複製。
在加密和未加密磁碟區間遷移資料
當您可以存取加密和未加密磁碟區時,您可以自由的在其間傳輸資料。EC2 會透明的進行加密和解密操作。
例如,使用 rsync 命令來複製資料。在下列命令中,來源資料位於 /mnt/source,目標磁碟區則掛載於 /mnt/destination。
[ec2-user ~]$sudo rsync -avh --progress/mnt/source//mnt/destination/
例如,使用 robocopy 命令來複製資料。在下列命令中,來源資料位於 D:\,目標磁碟區則掛載於 E:\。
PS C:\>robocopyD:\sourcefolderE:\destinationfolder/e /copyall /eta
我們建議使用資料夾,而非複製整個磁碟區,因為這可避免隱藏資料夾的潛在問題。
加密結果
下表說明每個可能設定組合的加密結果。
| 加密是否已啟用? | 是否預設啟用加密? | 磁碟區來源 | 預設 (未指定客戶受管金鑰) | 自訂 (已指定客戶受管金鑰) |
|---|---|---|---|---|
| 否 | 否 | 新的 (空白) 磁碟區 | 未加密 | N/A |
| 否 | 否 | 您擁有的未加密快照 | 未加密 | |
| 否 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 否 | 否 | 與您共用的未加密快照 | 未加密 | |
| 否 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密* | |
| 是 | 否 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密* |
| 是 | 否 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 是 | 否 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 新的 (空白) 磁碟區 | 按預設客戶受管金鑰加密 | N/A |
| 否 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 否 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 否 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密 |
| 是 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
| 是 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
| 是 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 |
* 這是用於帳戶和區域 EBS 加密的預設客 AWS 戶管理金鑰。依預設,這 AWS 受管金鑰 對於 EBS 而言是唯一的,您也可以指定客戶管理的金鑰。如需詳細資訊,請參閱 選取用於 EBS 加密的 KMS 金鑰。
** 這是啟動時針對磁碟區指定的客戶受管金鑰。使用此客戶管理金鑰,而非帳戶和區域的預設客 AWS 戶管理金鑰。
