本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS
本主題詳細討論 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS 加密磁碟區和快照。如需加密 Amazon EBS磁碟區的基本說明,請參閱 Amazon EBS Encryption 。
Amazon EBS加密
當您將加密的 Amazon EBS磁碟區連接至支援的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體類型 時,儲存在磁碟區上的靜態資料、磁碟 I/O 和從磁碟區建立的快照都會加密。加密發生在託管 Amazon EC2執行個體的伺服器上。
所有 Amazon EBS磁碟區類型 都支援此功能。您存取加密磁碟區的方式與存取其他磁碟區的方式相同;加密和解密會以透明方式處理,不需要您、EC2執行個體或應用程式採取其他動作。加密磁碟區的快照會自動加密,而從加密快照建立的磁碟區也會自動加密。
磁碟EBS區的加密狀態取決於您建立磁碟區的時間。您不能改變現有磁碟區的加密狀態。不過,您可以在加密和未加密的磁碟區之間遷移資料,並在複製快照時套用新的加密狀態。
Amazon 預設EBS支援選用加密。您可以在 AWS 帳戶 和 區域中的所有新EBS磁碟區和快照複本上自動啟用加密。此組態設定不會影響現有的磁碟區或快照。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon EBS加密。 EBS
使用KMS金鑰和資料金鑰
當您建立加密的 Amazon EBS磁碟區 時,您可以指定 AWS KMS key。根據預設,Amazon EBS會在您的帳戶 () EBS中使用 Amazon AWS 受管金鑰的 aws/ebs
。但是,您可以指定您建立和管理的客戶受管金鑰。
若要使用客戶受管金鑰,您必須授予 Amazon 代表您使用KMS金鑰的EBS許可。如需必要許可的清單,請參閱 Amazon EC2使用者指南 或 Amazon EC2使用者指南 中的IAM使用者許可。
對於每個磁碟區,Amazon EBS會要求 AWS KMS 產生唯一的資料金鑰,並以您指定的KMS金鑰加密。Amazon 會將加密的資料金鑰與磁碟區一起EBS存放。然後,當您將磁碟區連接至 Amazon EC2執行個體時,Amazon 會EBS呼叫 AWS KMS 來解密資料金鑰。Amazon EBS使用 Hypervisor 記憶體中的純文字資料金鑰,將所有磁碟 I/O 加密至磁碟區。如需詳細資訊,請參閱 Amazon EC2使用者指南 或 Amazon EC2使用者指南 中的EBS加密如何運作。
Amazon EBS加密內容
在 GenerateDataKeyWithoutPlaintext和解密對 的請求中 AWS KMS,Amazon EBS會使用加密內容搭配可識別請求中磁碟區或快照的名稱值對。加密內容中的名稱會維持不變。
加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的請求中包含加密內容時, AWS KMS 加密會以加密內容繫結至加密資料。若要解密資料,您必須傳遞相同的加密內容。
對於使用 Amazon EBSCreateSnapshot操作建立的所有磁碟區和加密快照,Amazon EBS會使用磁碟區 ID 作為加密內容值。在日誌項目的 CloudTrail requestParameters
欄位中,加密內容看起來類似於以下內容:
"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }
對於使用 Amazon EC2CopySnapshot操作建立的加密快照,Amazon EBS會使用快照 ID 作為加密內容值。在日誌項目的 CloudTrail requestParameters
欄位中,加密內容看起來類似於以下內容:
"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }
偵測 Amazon EBS 失敗
若要建立加密EBS磁碟區或將磁碟區連接至EC2執行個體,Amazon EBS和 Amazon EC2基礎設施必須能夠使用您為EBS磁碟區加密指定的KMS金鑰。當KMS金鑰無法使用時,例如當其金鑰狀態為非時Enabled
,磁碟區建立或磁碟區連接會失敗。
在此情況下,Amazon EBS會將事件傳送至 Amazon EventBridge (先前稱為 CloudWatch Events),以通知您失敗。在 中 EventBridge,您可以建立規則來觸發自動動作以回應這些事件。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon CloudWatch Events for EBS Amazon,特別是下列章節: EC2
若要修正這些故障,請確定您為EBS磁碟區加密指定的KMS金鑰已啟用。若要執行此操作,請先檢視 KMS金鑰,以判斷其目前的金鑰狀態 ( 中的狀態欄 AWS Management Console)。接著,查看下列其中一個連結的相關資訊:
使用 AWS CloudFormation 建立加密的 Amazon EBS磁碟區
您可以使用 AWS CloudFormation