Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS - AWS Key Management Service
Amazon EBS 加密使用 KMS 金鑰和資料金鑰Amazon EBS 加密內容偵測 Amazon EBS 失敗用 AWS CloudFormation 於建立加密的 Amazon EBS 磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS

本主題詳細討論 Amazon Elastic Block Store (Amazon EBS) 如何用 AWS KMS 來加密磁碟區和快照。對於加密 Amazon EBS 磁碟區的基本說明,請參閱 Amazon EBS 加密

Amazon EBS 加密

當您連接加密 Amazon EBS 磁碟區到支援的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體類型,存放在磁碟區的靜態資料、磁碟輸入/輸出,以及從磁碟區建立的快照全部都會加密。加密在託管 Amazon EC2 執行個體的伺服器上進行。

所有 Amazon EBS 磁碟區類型都支援此功能。您存取加密磁碟區方式與存取其他磁碟區的方式相同;加密和解密的處理過程皆相當透明,不需要您、您的 EC2 執行個體或您的應用程式進行任何額外動作。加密磁碟區的快照會自動加密,而從加密快照建立的磁碟區也會自動加密。

EBS 磁碟區的加密狀態取決於您建立磁碟區時。您不能改變現有磁碟區的加密狀態。不過,您可以在加密和未加密的磁碟區之間遷移資料,並在複製快照時套用新的加密狀態。

Amazon EBS 預設支援可選的加密。您可以在您和區域中的所有新 EBS 磁碟區和快照副本上自動啟用加密。 AWS 帳戶 此組態設定不會影響現有的磁碟區或快照。如需詳細資訊,請參閱 Amazon EC2 使用者指南或 Amazon EC2 使用者指南中的預設加密

使用 KMS 金鑰和資料金鑰

建立加密的 Amazon EBS 磁碟區時,您可以指定 AWS KMS key。根據預設,Amazon EBS 會使用您帳戶 (aws/ebs) 中的 Amazon EBS AWS 受管金鑰。但是,您可以指定您建立和管理的客戶受管金鑰

若要使用客戶受管金鑰,您必須授予 Amazon EBS 許可,才能代表您使用 KMS 金鑰。如需必要許可的清單,請參閱 Amazon EC2 使者指南或 Amazon EC2 使用者指南中的 IAM 使用者可。

重要

Amazon EBS 只支援對稱 KMS 金鑰。您無法使用非對稱 KMS 金鑰來加密 Amazon EBS 磁碟區。如需判斷 KMS 金鑰是對稱還是不對稱的說明,請參閱 識別非對稱 KMS 金鑰

對於每個磁碟區,Amazon EBS 會 AWS KMS 要求產生以您指定的 KMS 金鑰加密的唯一資料金鑰。Amazon EBS 會隨著磁碟區存放加密的資料金鑰。然後,當您將磁碟區連接到 Amazon EC2 執行個體時,Amazon EBS 會呼叫 AWS KMS 以解密資料金鑰。Amazon EBS 使用存放在 Hypervisor 記憶體的純文字資料金鑰來加密所有磁碟區的磁碟輸入/輸出。如需詳細資訊,請參閱 Amazon EC2 使用者指南或 Amazon EC2 使用者指南中的 EBS 加密的運作方式。

Amazon EBS 加密內容

Amazon EBS 在其請求GenerateDataKeyWithoutPlaintext解密請求中 AWS KMS,使用具有名稱-值組的加密內容,用於識別請求中的磁碟區或快照。加密內容中的名稱會維持不變。

加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的要求中包含加密內容時, AWS KMS 密碼編譯會將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。

對於使用 Amazon EBS CreateSnapshot操作建立的所有磁碟區和加密快照,Amazon EBS 會使用磁碟區 ID 作為加密內容值。在 CloudTrail記錄項目requestParameters欄位中,加密內容看起來類似下列內容:

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

對於透過 Amazon EC2 CopySnapshot作業建立的加密快照,Amazon EBS 會使用快照 ID 做為加密內容值。在 CloudTrail記錄項目requestParameters欄位中,加密內容看起來類似下列內容:

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

偵測 Amazon EBS 失敗

為了建立加密的 EBS 磁碟區或將磁碟區連接到 EC2 執行個體,Amazon EBS 和 Amazon EC2 基礎設施必須能夠使用您為 EBS 磁碟區加密指定的 KMS 金鑰。當 KMS 金鑰無法使用,例如,當其金鑰狀態不是 Enabled 時,磁碟區建立或磁碟區連接會失敗。

在這種情況下,Amazon EBS 會將件傳送至 Amazon EventBridge (之前稱為「 CloudWatch 活動」),以通知您有關失敗的資訊。在中 EventBridge,您可以建立規則來觸發自動動作以回應這些事件。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的適用於 Amazon EBS 的亞馬遜 CloudWatch 事件,特別是以下各節:

若要修正這些問題,請確保您為 EBS 磁碟區加密指定的 KMS 金鑰已啟用。若要這樣做,請先檢視 KMS 金鑰以判斷其目前的金鑰狀態 (中的 [狀態] 欄 AWS Management Console)。接著,查看下列其中一個連結的相關資訊:

  • 如果 KMS 金鑰的金鑰狀態為已停用,則請啟用

  • 如果 KMS 金鑰的金鑰狀態為待匯入,則請匯入金鑰材料

  • 如果 KMS 金鑰的金鑰狀態為待刪除,則請取消金鑰刪除

用 AWS CloudFormation 於建立加密的 Amazon EBS 磁碟區

您可以使用 AWS CloudFormation 來建立加密的 Amazon EBS 磁碟區。若要取得更多資訊,請參閱《AWS CloudFormation 使用指南》AWS::EC2::Volume中的。