本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EBS 加密示例
當您建立加密的 EBS 資源時,其會透過您帳戶預設的 EBS 加密 KMS 金鑰 來加密,除非您在磁碟區創建參數中或者 AMI 或執行個體的區塊型設備映射中指定了不同的 受客戶管理的金鑰。如需詳細資訊,請參閱 選取用於 EBS 加密的 KMS 金鑰。
下列範例說明如何管理您磁碟區和快照的加密狀態。如需加密案例的完整清單,請參閱 加密結果表。
範例
還原未加密磁碟區 (未啟用預設加密)
若未啟用預設加密,從未加密快照還原的磁碟區預設為未加密。不過,您可以設定 Encrypted
參數,並選擇性地設定 KmsKeyId
參數,來加密產生的磁碟區。下圖說明此程序。
![當您從未加密的快照建立磁碟區時,請指定 KMS 金鑰來建立加密的磁碟區。](images/volume-encrypt-account-off.png)
如果您省略 KmsKeyId
參數,則產生的磁碟區會使用您 EBS 加密的預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同 KMS 金鑰。
如需詳細資訊,請參閱 從快照建立磁碟區。
還原未加密磁碟區 (已啟用預設加密)
如果已啟用預設加密,必須對從未加密快照還原的磁碟區進行加密,而且不需要任何加密參數即可使用預設 KMS 金鑰。下圖顯示這個簡單的預設案例:
![當您從未加密的快照建立磁碟區但預設為啟用加密時,我們會使用預設的 KMS 金鑰來建立加密的磁碟區。](images/volume-encrypt-account-on.png)
如果想要將還原的磁碟區加密為對稱的客戶受管加密金鑰,則您必須同時提供 Encrypted
中顯示的 KmsKeyId
和 還原未加密磁碟區 (未啟用預設加密) 參數。
複製未加密快照 (未啟用預設加密)
若未啟用預設加密,未加密快照的複本預設為未加密。不過,您可以設定 Encrypted
參數,並選擇性地設定 KmsKeyId
參數,來加密產生的快照。如果您省略 KmsKeyId
,則產生的快照會以預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同的對稱加密 KMS 金鑰。
下圖說明此程序。
![從未加密快照建立已加密快照。](images/snapshot-encrypt-account-off.png)
將未加密的快照複製到加密的快照,然後從加密的快照建立磁碟區,即可以加密 EBS 磁碟區。如需詳細資訊,請參閱 複製 Amazon EBS 快照。
複製未加密快照 (已啟用預設加密)
如果已啟用預設加密,則必須對未加密快照的複本進行加密,而且若使用預設 KMS 金鑰,則不需要任何加密參數。下圖說明此預設案例:
![從未加密快照建立已加密快照。](images/snapshot-encrypt-account-on.png)
重新加密已加密的磁碟區
如果 CreateVolume
動作在已加密快照上運作,您可以選擇使用不同 KMS 金鑰 重新加密。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在建立磁碟區期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動解密,然後以 KMS 金鑰 B 重新加密。
![複製已加密快照並將複本加密為新 KMS 金鑰。](images/volume-reencrypt.png)
如需詳細資訊,請參閱 從快照建立磁碟區。
重新加密未加密快照
在複製過程中加密快照的功能,可讓您將新的對稱加密 KMS 金鑰 套用至您所擁有的已加密快照。從結果複本還原的磁碟區也只能使用新的 KMS 金鑰 進行存取。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在複製期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動以 KMS 金鑰 B 重新加密。
![複製已加密快照並將複本加密為新 KMS 金鑰。](images/snap-reencrypt.png)
在相關案例中,您可以選擇將新的加密參數套用到與您共享之快照的複本。根據預設,複本也會使用快照擁有者共享的 KMS 金鑰 進行加密。但是,我們建議您使用由您控制的不同 KMS 金鑰 建立共享快照的複本。這可在原始 KMS 金鑰 洩露時,或是擁有者因各種原因撤銷 KMS 金鑰 時,保護您存取磁碟區的權限。如需詳細資訊,請參閱 加密和快照複製。
在加密和未加密磁碟區間遷移資料
當您可以存取加密和未加密磁碟區時,您可以自由的在其間傳輸資料。EC2 會透明的進行加密和解密操作。
例如,使用 rsync 命令來複製資料。在下列命令中,來源資料位於 /mnt/source
,目標磁碟區則掛載於 /mnt/destination
。
[ec2-user ~]$
sudo rsync -avh --progress
/mnt/source/
/mnt/destination/
例如,使用 robocopy 命令來複製資料。在下列命令中,來源資料位於 D:\
,目標磁碟區則掛載於 E:\
。
PS C:\>
robocopy
D:\sourcefolder
E:\destinationfolder
/e /copyall /eta
我們建議使用資料夾,而非複製整個磁碟區,因為這可避免隱藏資料夾的潛在問題。
加密結果
下表說明每個可能設定組合的加密結果。
加密是否已啟用? | 是否預設啟用加密? | 磁碟區來源 | 預設 (未指定客戶受管金鑰) | 自訂 (已指定客戶受管金鑰) |
---|---|---|---|---|
否 | 否 | 新的 (空白) 磁碟區 | 未加密 | N/A |
否 | 否 | 您擁有的未加密快照 | 未加密 | |
否 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
否 | 否 | 與您共用的未加密快照 | 未加密 | |
否 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密* | |
是 | 否 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密* |
是 | 否 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
是 | 否 | 您擁有的加密快照 | 以相同金鑰加密 | |
是 | 否 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
是 | 否 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
否 | 是 | 新的 (空白) 磁碟區 | 按預設客戶受管金鑰加密 | N/A |
否 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
否 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
否 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
否 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 | |
是 | 是 | 新磁碟區 | 按預設客戶受管金鑰加密 | 按指定客戶受管金鑰加密 |
是 | 是 | 您擁有的未加密快照 | 按預設客戶受管金鑰加密 | |
是 | 是 | 您擁有的加密快照 | 以相同金鑰加密 | |
是 | 是 | 與您共用的未加密快照 | 按預設客戶受管金鑰加密 | |
是 | 是 | 與您共用的加密快照 | 按預設客戶受管金鑰加密 |
* 這是用於帳戶和區域 EBS 加密的預設客 AWS 戶管理金鑰。依預設,這 AWS 受管金鑰 對於 EBS 而言是唯一的,您也可以指定客戶管理的金鑰。如需詳細資訊,請參閱 選取用於 EBS 加密的 KMS 金鑰。
** 這是啟動時針對磁碟區指定的客戶受管金鑰。使用此客戶管理金鑰,而非帳戶和區域的預設客 AWS 戶管理金鑰。