Amazon Elastic Compute Cloud
Windows 实例用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

Amazon EBS Encryption

Amazon EBS 加密提供了用于 EBS 卷的简单加密解决方案,您无需构建、维护和保护自己的密钥管理基础设施。在创建加密的 EBS 卷并将其连接到支持的实例类型后,将对以下类型的数据进行加密:

  • 卷中的静态数据

  • 在卷和实例之间移动的所有数据

  • 从卷创建的所有快照

  • 从这些快照创建的所有卷

加密操作在托管 EC2 实例的服务器上进行,用于确保静态数据安全性以及在实例和其连接的 EBS 存储之间传输的数据的安全性。

所有 EBS 卷类型 (通用型 SSD [gp2]、预配置 IOPS SSD [io1]、吞吐优化 HDD [st1]、Cold HDD [sc1] 和 磁介质 [standard]) 都支持加密。您可能希望加密卷具有与未加密卷相同的 IOPS 性能,同时对延迟的影响最低。您可以采用与访问未加密卷相同的方式来访问加密卷。加密和解密是以透明方式处理的,并且不需要您或您的应用程序执行额外操作。

加密卷的快照无法公开,但您可以与特定账户共享加密快照。有关共享加密快照的更多信息,请参阅共享 Amazon EBS 快照

Amazon EBS 加密仅对特定实例类型可用。加密卷和未加密卷都可以连接到支持的实例类型。有关更多信息,请参阅 支持的实例类型

加密密钥管理

Amazon EBS 加密 在创建加密卷及其快照时,使用 AWS Key Management Service (AWS KMS) 客户主密钥 (CMKs)。唯一的 AWS 托管 CMK 是在您存储 AWS 资产的每个区域中自动为您创建的。此密钥用于 Amazon EBS 加密,除非您指定了使用 AWS KMS 单独创建的客户托管 CMK。

注意

创建您自己的 CMK 可为您提供更大灵活性,包括创建、轮换和禁用密钥以定义访问控制的能力。有关更多信息,请参阅 AWS Key Management Service Developer Guide

您无法更改与现有快照或加密卷关联的 CMK。但是,您可在快照复制操作期间关联另一个 CMK,从而使生成的已复制快照将使用新的 CMK。

EBS 通过行业标准的 AES-256 算法,利用数据密钥加密您的卷。您的数据密钥与您的加密数据一起存储在磁盘上,但并非在 EBS 利用您的 CMK 对数据密钥进行加密之前 - 数据密钥不会以纯文本形式显示。同一数据密钥将由从这些快照创建的卷和后续卷的快照共享。

有关管理密钥的更多信息,请参阅 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS

支持的实例类型

Amazon EBS 加密 适用于下表中所列的实例类型。这些实例类型利用 Intel AES 新指令 (AES-NI) 指令集提供更快且更简单的数据保护。您可以同时将加密卷和未加密卷连接到这些实例类型。

实例系列 支持 Amazon EBS 加密 的实例类型

通用型

t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge | m3.medium | m3.large | m3.xlarge | m3.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge

计算优化

c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge | c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge

内存优化

r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge | x1e.32xlarge | cr1.8xlarge

存储优化

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

加速的计算

f1.2xlarge | f1.16xlarge | g2.2xlarge | g2.8xlarge | g3.4xlarge | g3.8xlarge | g3.16xlarge | p2.xlarge | p2.8xlarge | p2.16xlarge

有关这些实例类型的更多信息,请参阅实例类型详细信息

更改数据的加密状态

不能直接对现有的未加密卷加密或对加密卷删除加密。但是,您可以在加密卷与未加密卷之间迁移数据。您也可以在复制快照时应用新的加密状态:

  • 在复制未加密卷的未加密快照时,您可以将副本加密。从该加密副本还原的卷也将被加密。

  • 在复制加密卷的加密快照时,您可以将副本与不同的 CMK 关联。从该加密副本还原的卷只能使用新应用的 CMK 进行访问。

无法从加密的快照中删除加密。

在加密卷与未加密卷之间迁移数据

当您对加密卷和未加密卷都可以访问时,就可以在它们之间自由传输数据了。EC2 透明地执行加密和解密操作。

在加密卷与未加密卷之间迁移数据

  1. 按照 创建 Amazon EBS 卷 中的程序创建您的目标卷 (是否加密取决于您的需求)。

  2. 将目标卷挂载到托管待迁移数据的实例。有关更多信息,请参阅 将 Amazon EBS 卷连接到实例

  3. 按照使 Amazon EBS 卷可用中的过程使目标卷可用。对于 Linux 实例,您可以在 /mnt/destination 处创建安装点,然后在此处安装目标卷。

  4. 将数据从您的源目录复制到目标卷。使用批量复制实用工具执行此任务可能最为方便。

    Linux

    按如下所示使用 rsync 命令将数据从源复制到目标卷。在此示例中,源数据位于 /mnt/source 中,目标卷安装在 /mnt/destination 处。

    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    在命令提示符处,使用 robocopy 命令将数据从源复制到目标卷。在此示例中,源数据位于 D:\ 中,目标卷安装在 E:\ 处。

    PS C:\> robocopy D:\ E:\ /e /copyall /eta

在复制快照时应用加密

因为可以在复制快照时对快照应用加密,所以复制数据的另一种途径步骤如下。

通过快照复制对卷数据加密

  1. 创建未加密 EBS 卷的快照。此快照也未加密。

  2. 复制快照的同时应用加密参数。生成的目标快照是加密的。

  3. 将加密快照还原到新卷,也还是加密的。

有关更多信息,请参阅复制 Amazon EBS 快照

使用新的 CMK 加密快照

由于能够在复制过程中加密快照,您可以将新 CMK 应用于您拥有的已加密过的快照。从生成的副本还原的卷只能使用新的 CMK 进行访问。

在相关的场景中,您可以选择将新加密参数应用于已与您共享的快照的副本。从共享的加密快照还原某个卷之前,您必须创建属于您自己的共享加密快照副本。默认情况下,系统会使用快照所有者共享的 CMK 对该副本进行加密。但是,我们建议您使用您控制的其他 CMK 创建共享快照的副本。这样,即使原始 CMK 遭到泄露或所有者出于任何原因撤销了 CMK,您也不会失去对卷的访问权限。

以下过程演示如何使用您拥有的客户托管 CMK 创建共享快照的副本。

使用控制台,借助新的自定义 CMK 复制您拥有的快照

  1. 创建客户托管 CMK。有关更多信息,请参阅 AWS Key Management Service Developer Guide

  2. 创建用您的 AWS 托管 CMK (仅针对本示例) 加密的 EBS 卷。

  3. 创建加密 EBS 卷的快照。此快照也使用您的 AWS 托管 CMK 进行加密。

  4. Snapshots 页面,选择 ActionsCopy

  5. Copy Snapshot 窗口中,在 Master Key 字段中输入您的客户托管 CMK 的完整 ARN (以 arn:aws-cn:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 的形式),或从菜单中选择该 ARN。选择 Copy

生成的快照副本以及从其还原的所有卷都将使用您的客户托管 CMK 进行加密。

以下过程演示如何使用您拥有的新 CMK 创建共享加密快照的副本。要进行这一操作,您还需要对共享加密快照的访问权限以及对最初用来对快照进行加密的 CMK 的访问权限。

使用控制台,借助您拥有的 CMK 复制共享快照

  1. Snapshots 页面选择共享的加密快照,然后选择 ActionsCopy

  2. Copy Snapshot 窗口中,在 Master Key 字段中输入您拥有的 CMK 的完整 ARN (以 arn:aws-cn:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 的形式),或从菜单中选择该 ARN。选择 Copy

生成的快照副本以及从其还原的所有卷都将使用您提供的 CMK 进行加密。原始共享快照、其加密状态或共享 CMK 的更改不会对您的副本产生影响。

有关更多信息,请参阅复制 Amazon EBS 快照

Amazon EBS 加密和 CloudWatch Events

在与加密相关的某些特定情景下,Amazon EBS 支持 Amazon CloudWatch Events。有关更多信息,请参阅Amazon CloudWatch Events for Amazon EBS