Amazon EBS 磁碟區加密 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EBS 磁碟區加密

Amazon EBS 提供磁碟區加密功能。每個磁碟區都使用 AES-256-XTS 加密。這需要兩個 256 位元磁碟區金鑰,您可以將其視為一個 512 位元磁碟區金鑰。磁碟區金鑰會在您帳戶中的 KMS 金鑰下加密。為了讓 Amazon EBS 為您加密磁碟區,它必須具有存取權,才能在帳戶中的 KMS 金鑰下產生磁碟區金鑰 (VK)。您可以透過提供 Amazon EBS 授權給 KMS 金鑰,以建立資料金鑰,並加密和解密這些磁碟區金鑰。現在,Amazon EBS 使用 AWS KMS 搭配 KMS 金鑰來產生 AWS KMS 加密的磁碟區金鑰。

Amazon EBS 磁碟區加密與 AWS KMS 金鑰。

下列工作流程會對寫入 Amazon EBS 磁碟區的資料進行加密:

  1. Amazon EBS AWS KMS 透過 TLS 工作階段在 KMS 金鑰下取得加密的磁碟區金鑰,並將加密的金鑰與磁碟區中繼資料一起存放。

  2. 掛載 Amazon EBS 磁碟區時,會擷取加密的磁碟區金鑰。

  3. 透過 TLS AWS KMS 呼叫 以解密加密的磁碟區金鑰。 會 AWS KMS 識別 KMS 金鑰,並對機群中的 HSM 提出內部請求以解密加密的磁碟區金鑰。 AWS KMS 然後, 會透過 TLS 工作階段將磁碟區金鑰傳回至包含執行個體的 Amazon Elastic Compute Cloud (Amazon EC2) 主機。

  4. 磁碟區金鑰用於加密和解密所有進出已連接 Amazon EBS 磁碟區的資料。Amazon EBS 會保留加密的磁碟區金鑰,以便稍後在記憶體中的磁碟區金鑰不再可用時使用。

如需使用 KMS 金鑰加密 Amazon EBS 磁碟區的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的 Amazon Elastic Block Store 使用方式 AWS KMS,以及》Amazon EC2 使用者指南》和 Amazon EC2 使用者指南》中的 Amazon EBS 加密