Amazon Elastic Compute Cloud
Windows 实例用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon EBS Encryption

Amazon EBS 加密提供了用于 EBS 卷的简单加密解决方案,您无需构建、维护和保护自己的密钥管理基础设施。在创建加密的 EBS 卷并将其连接到支持的实例类型后,将对以下类型的数据进行加密:

  • 卷中的静态数据

  • 在卷和实例之间移动的所有数据

  • 从卷创建的所有快照

加密在托管 EC2 实例的服务器上进行,对从 EC2 实例传输到 EBS 存储的数据进行加密。

Amazon EBS 加密 在创建加密卷及其快照时,使用 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK)。首次在某个区域中创建加密卷时,将自动为您创建一个默认 CMK。除非您选择了使用 AWS KMS 单独创建的 CMK,否则此密钥将用于 Amazon EBS 加密。创建您自己的 CMK 可以实现更高的灵活性,让您可以创建、轮换、禁用密钥以定义访问控制,并审核用于保护数据的加密密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide

所有 EBS 卷类型 (通用型 SSD [gp2]、预配置 IOPS SSD [io1]、吞吐优化 HDD [st1]、Cold HDD [sc1] 和磁介质 [standard]) 都支持此功能。加密卷对延迟的影响极小,其 IOPS 性能与未加密卷一样。您可以通过与访问未加密卷相同的方式来访问加密卷。加密和解密以透明方式处理,您的 EC2 实例或您的应用程序都无需执行其他任何操作。

从加密卷拍摄的快照会自动加密。通过加密快照创建的卷也会自动加密。加密卷的快照无法公开,但是如果执行以下步骤,您可以与特定账户共享加密快照:

  1. 使用自定义 CMK 而非默认 CMK 对您的卷进行加密。

  2. 允许特定账户访问自定义 CMK。

  3. 创建快照。

  4. 允许特定账户访问该快照。

有关更多信息,请参阅共享 Amazon EBS 快照

Amazon EBS 加密仅对特定实例类型可用。加密卷和未加密卷都可以连接到支持的实例类型。有关更多信息,请参阅 支持的实例类型

加密密钥管理

Amazon EBS 加密 为您处理密钥管理。每个新创建的卷都使用一个唯一的 256 位密钥加密。此卷的所有快照以及从这些快照创建的后续卷也共享该密钥。这些密钥受 AWS 密钥管理基础设施的保护,这将实施强逻辑和物理安全控制以防止未经授权的访问。您的数据和关联的密钥使用行业标准的 AES-256 算法进行加密。

您无法更改与现有快照或加密卷关联的 CMK。然而,您可在快照复制操作 (包括加密未加密快照的副本) 期间关联另一个 CMK,而生成的已复制快照将使用新的 CMK。

AWS 整体密钥管理基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议,使用联邦信息处理标准 (FIPS) 140-2 批准的密码算法。

每个 AWS 账户都具有一个唯一的主密钥,该密钥与数据分开,存储在一个受严格的物理和逻辑安全控制保护的系统上。每个加密卷 (及其后续的快照) 使用唯一卷加密密钥来加密,然后使用特定于区域的安全主密钥加密。卷加密密钥在托管您的 EC2 实例的服务器的内存中使用,永远不会以纯文本格式存储在磁盘上。

支持的实例类型

Amazon EBS 加密 适用于下表中所列的实例类型。这些实例类型利用 Intel AES 新指令 (AES-NI) 指令集提供更快且更简单的数据保护。您可以同时将加密卷和未加密卷连接到这些实例类型。

实例系列 支持 Amazon EBS 加密 的实例类型

通用型

t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge | m3.medium | m3.large | m3.xlarge | m3.2xlarge

计算优化

c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge | c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge

内存优化

r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge | x1e.32xlarge | cr1.8xlarge

存储优化

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

加速的计算

有关这些实例类型的更多信息,请参阅实例类型详细信息

更改数据的加密状态

不能直接对现有的未加密卷加密或对加密卷删除加密。但是,您可以在加密卷与未加密卷之间迁移数据。您也可以在复制快照时应用新的加密状态:

  • 在复制未加密卷的未加密快照时,您可以将副本加密。从该加密副本还原的卷也将被加密。

  • 在复制加密卷的加密快照时,您可以使用不同的 CMK 将副本重新加密。从该加密副本还原的卷只能使用新应用的 CMK 进行访问。

无法从加密的快照中删除加密。

在加密卷与未加密卷之间迁移数据

当您对加密卷和未加密卷都可以访问时,就可以在它们之间自由传输数据了。EC2 透明地执行加密和解密操作。

在加密卷与未加密卷之间迁移数据

  1. 按照 创建 Amazon EBS 卷 中的程序创建您的目标卷 (是否加密取决于您的需求)。

  2. 将目标卷挂载到托管待迁移数据的实例。有关更多信息,请参阅 将 Amazon EBS 卷连接到实例

  3. 按照使 Amazon EBS 卷可用中的过程使目标卷可用。对于 Linux 实例,您可以在 /mnt/destination 处创建安装点,然后在此处安装目标卷。

  4. 将数据从您的源目录复制到目标卷。使用批量复制实用工具执行此任务可能最为方便。

    Linux

    按如下所示使用 rsync 命令将数据从源复制到目标卷。在此示例中,源数据位于 /mnt/source 中,目标卷安装在 /mnt/destination 处。

    Copy
    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    在命令提示符处,使用 robocopy 命令将数据从源复制到目标卷。在此示例中,源数据位于 D:\ 中,目标卷安装在 E:\ 处。

    Copy
    PS C:\> robocopy D:\ E:\ /e /copyall /eta

在复制快照时应用加密

因为可以在复制快照时对快照应用加密,所以复制数据的另一种途径步骤如下。

通过快照复制对卷数据加密

  1. 创建未加密 EBS 卷的快照。此快照也未加密。

  2. 复制快照的同时应用加密参数。生成的目标快照是加密的。

  3. 将加密快照还原到新卷,也还是加密的。

有关更多信息,请参阅复制 Amazon EBS 快照

使用新的 CMK 重新加密快照

由于能够在复制过程中加密快照,您可以重新加密您拥有的已加密过的快照。进行这一操作时,系统会使用您提供的新 CMK 对快照的纯文本进行加密。从生成的副本还原的卷只能使用新的 CMK 进行访问。

在相关的场景中,您可以选择对与您共享的快照进行重新加密。从共享的加密快照还原某个卷之前,您必须创建属于您自己的共享加密快照副本。默认情况下,系统会使用快照所有者共享的密钥对该副本进行加密。不过,我们建议您在复制过程中,使用您控制的其他密钥重新加密快照。这样,即使原始密钥遭到泄露或拥有者出于任何原因撤销了密钥,您也不会失去对卷的访问权限。

以下程序演示了如何重新加密您的快照。

使用控制台重新加密快照

  1. 创建自定义 CMK。有关更多信息,请参阅 AWS Key Management Service Developer Guide

  2. 创建用您的默认 CMK (仅针对本示例) 加密的 EBS 卷。

  3. 创建加密 EBS 卷的快照。此快照也使用您的默认 CMK 进行加密。

  4. Snapshots 页面,选择 ActionsCopy

  5. Copy Snapshot 窗口中,在 Master Key 字段中输入您自定义的 CMK 的完整 ARN (以 arn:aws-cn:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 的形式),或从菜单中选择该 ARN。选择 Copy

生成的快照副本以及从其还原的所有卷都将使用您自定义的 CMK 进行加密。

以下程序演示了如何在复制过程中重新加密共享的加密快照。要进行这一操作,您需要拥有共享加密快照及用于对其进行加密的 CMK 的访问权限。

使用控制台复制并重新加密共享快照

  1. Snapshots 页面选择共享的加密快照,然后选择 ActionsCopy

  2. Copy Snapshot 窗口中,在 Master Key 字段中输入您拥有的 CMK 的完整 ARN (以 arn:aws-cn:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 的形式),或从菜单中选择该 ARN。选择 Copy

生成的快照副本以及从其还原的所有卷都将使用您提供的 CMK 进行加密。原始共享快照、其加密状态或共享 CMK 的更改不会对您的副本产生影响。

有关更多信息,请参阅复制 Amazon EBS 快照

Amazon EBS 加密和 CloudWatch Events

在与加密相关的某些特定情景下,Amazon EBS 支持 Amazon CloudWatch Events。有关更多信息,请参阅Amazon CloudWatch Events for Amazon EBS