Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS - AWS Key Management Service
Amazon EBS加密使用KMS金鑰和資料金鑰Amazon EBS加密內容偵測 Amazon EBS 失敗使用 AWS CloudFormation 建立加密的 Amazon EBS磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS

本主題詳細討論 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS 加密磁碟區和快照。如需加密 Amazon EBS磁碟區的基本說明,請參閱 Amazon EBS Encryption

Amazon EBS加密

當您將加密的 Amazon EBS磁碟區連接至支援的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體類型 時,儲存在磁碟區、磁碟 I/O 和從磁碟區建立的快照上的資料都會加密。加密發生在託管 Amazon EC2執行個體的伺服器上。

所有 Amazon EBS磁碟區類型 都支援此功能。您存取加密磁碟區的方式與存取其他磁碟區的方式相同;加密和解密會以透明方式處理,不需要您、EC2執行個體或應用程式採取其他動作。加密磁碟區的快照會自動加密,而從加密快照建立的磁碟區也會自動加密。

磁碟EBS區的加密狀態取決於您建立磁碟區時的加密狀態。您不能改變現有磁碟區的加密狀態。不過,您可以在加密和未加密的磁碟區之間遷移資料,並在複製快照時套用新的加密狀態。

Amazon 預設EBS支援選用加密。您可以在 AWS 帳戶 和 區域中的所有新EBS磁碟區和快照複本上自動啟用加密。此組態設定不會影響現有的磁碟區或快照。如需詳細資訊,請參閱 Amazon EC2使用者指南Amazon EC2使用者指南 中的預設加密

使用KMS金鑰和資料金鑰

當您建立加密的 Amazon EBS磁碟區 時,您可以指定 AWS KMS key。根據預設,Amazon EBS會在您的帳戶 () EBS中使用 Amazon AWS 受管金鑰aws/ebs。但是,您可以指定您建立和管理的客戶受管金鑰

若要使用客戶受管金鑰,您必須授予 Amazon 代表您使用KMS金鑰的EBS許可。如需必要許可的清單,請參閱 Amazon EC2使用者指南Amazon EC2使用者指南 中的IAM使用者許可

重要

Amazon 僅EBS支援對稱KMS金鑰 。您不能使用非對稱KMS金鑰來加密 Amazon EBS磁碟區。如需協助判斷KMS金鑰是對稱或非對稱,請參閱 識別不同的金鑰類型

對於每個磁碟區,Amazon 會EBS要求產生唯一資料金鑰 AWS KMS ,並以您指定的KMS金鑰加密。Amazon 會將加密的資料金鑰與磁碟區一起EBS存放。然後,當您將磁碟區連接至 Amazon EC2執行個體時,Amazon 會EBS呼叫 AWS KMS 來解密資料金鑰。Amazon EBS使用 Hypervisor 記憶體中的純文字資料金鑰,將所有磁碟 I/O 加密至磁碟區。如需詳細資訊,請參閱 Amazon EC2使用者指南Amazon EC2使用者指南 中的EBS加密運作方式

Amazon EBS加密內容

GenerateDataKeyWithoutPlaintext解密對 的請求中 AWS KMS,Amazon EBS會使用加密內容搭配可識別請求中磁碟區或快照的名稱值對。加密內容中的名稱會維持不變。

加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的請求中包含加密內容時, AWS KMS 加密會將加密內容繫結到加密的資料。若要解密資料,您必須傳遞相同的加密內容。

對於使用 Amazon EBSCreateSnapshot操作建立的所有磁碟區和加密快照,Amazon EBS會使用磁碟區 ID 作為加密內容值。在日誌項目的 CloudTrail requestParameters欄位中,加密內容看起來類似於以下內容:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

對於使用 Amazon EC2CopySnapshot操作建立的加密快照,Amazon EBS會使用快照 ID 作為加密內容值。在日誌項目的 CloudTrail requestParameters欄位中,加密內容看起來類似於以下內容:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

偵測 Amazon EBS 失敗

若要建立加密EBS磁碟區或將磁碟區連接至EC2執行個體,Amazon EBS和 Amazon EC2基礎設施必須能夠使用您為EBS磁碟區加密指定的KMS金鑰。當KMS金鑰無法使用時,例如當其金鑰狀態為非時Enabled,磁碟區建立或磁碟區連接會失敗。

在此情況下,Amazon EBS會將事件傳送至 Amazon EventBridge (先前為 CloudWatch Events),以通知您失敗的相關資訊。在 中 EventBridge,您可以建立規則來觸發自動動作以回應這些事件。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon CloudWatch Events for EBS Amazon,特別是下列章節: EC2

若要修正這些失敗,請確定您為EBS磁碟區加密指定的KMS金鑰已啟用。若要執行此操作,請先檢視 KMS金鑰,以判斷其目前的金鑰狀態 ( 中的狀態欄 AWS Management Console)。接著,查看下列其中一個連結的相關資訊:

使用 AWS CloudFormation 建立加密的 Amazon EBS磁碟區

您可以使用 AWS CloudFormation 建立加密的 Amazon EBS磁碟區。如需詳細資訊,請參閱 AWS CloudFormation 使用者指南 中的 AWS::EC2::Volume