Amazon EBS 磁碟區加密 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EBS 磁碟區加密

Amazon EBS 提供磁碟區加密功能。每個磁碟區都使用 AES-256-XTS 加密。這需要兩個 256 位元磁碟區金鑰,您可以將其視為一個 512 位元磁碟區金鑰。磁碟區金鑰會在您帳戶中的 KMS 金鑰下加密。為了讓 Amazon EBS 為您加密磁碟區,它必須具有存取權,才能在帳戶中的 KMS 金鑰下產生磁碟區金鑰 (VK)。您可以透過提供 Amazon EBS 授權給 KMS 金鑰,以建立資料金鑰,並加密和解密這些磁碟區金鑰。現在 Amazon EBS 將 AWS KMS 與 KMS 金鑰搭配使用來產生 AWS KMS 加密的磁碟區金鑰。

使用 AWS KMS 金鑰的 Amazon EBS 磁碟區加密。

下列工作流程會對寫入 Amazon EBS 磁碟區的資料進行加密:

  1. Amazon EBS 透過 TLS 工作階段的 AWS KMS 在 KMS 金鑰下取得加密的磁碟區金鑰,並存放具有磁碟區中繼資料的加密金鑰。

  2. 掛載 Amazon EBS 磁碟區時,會擷取加密的磁碟區金鑰。

  3. 透過 TLS 的 AWS KMS 呼叫來解密加密的磁碟區金鑰。AWS KMS 會識別 KMS 金鑰,並向機群中的 HSM 提出內部請求,以解密加密的磁碟區金鑰。然後,AWS KMS 將磁碟區金鑰傳回 Amazon Elastic Compute Cloud (Amazon EC2) 主機,該主機會包含 TLS 工作階段的執行個體。

  4. 磁碟區金鑰用於加密和解密所有進出已連接 Amazon EBS 磁碟區的資料。Amazon EBS 會保留加密的磁碟區金鑰,以便稍後在記憶體中的磁碟區金鑰不再可用時使用。

如需使用 KMS 金鑰加密 Amazon EBS 磁碟區的詳細資訊,請參閱AWS Key Management Service開發人員指南中的 Amazon Elastic Block Store 如何使用AWS KMS,以及 Amazon EC2 Linux 執行個體使用者指南Amazon EC2 Windows 執行個體使用者指南中的 Amazon EBS 加密