Amazon EBS 加密要求 - Amazon EBS
支持的卷类型支持的实例类型用户的权限实例的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EBS 加密要求

在您开始之前,确认您满足以下要求。

支持的卷类型

所有 EBS 卷类型都支持加密。您可能希望加密卷具有与未加密卷相同的 IOPS 性能,同时对延迟的影响最低。您可以采用与访问未加密卷相同的方式来访问加密卷。加密和解密是以透明方式处理的,并且不需要您或您的应用程序执行额外操作。

支持的实例类型

Amazon EBS 加密适用于所有当前一代上一代实例类型。

用户的权限

当您将 KMS 密钥用于 EBS 加密时,KMS 密钥政策允许任何有权访问所需 Amazon KMS 操作的用户使用此 KMS 密钥加密或解密 EBS 资源。您必须授予用户调用以下操作的权限才能使用 EBS 加密:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

提示

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 Amazon 服务代表用户创建授权时,才使用 kms:GrantIsForAWSResource 条件键以允许用户在 KMS 密钥上创建授权,如以下示例所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

有关更多信息,请参阅 Amazon Key Management Service 开发人员指南默认密钥策略部分中的允许访问Amazon账户并启用 IAM policy

实例的权限

当实例尝试与加密的 AMI、卷或快照进行交互时,系统会向该实例的仅限身份角色发放 KMS 密钥授权。仅限身份角色是一个 IAM 角色,实例使用该角色代表您与加密的 AMI、卷或快照进行交互。

仅限身份角色无需手动创建或删除,也没有与之关联的策略。此外,您无法访问仅限身份的角色凭证。

注意

您的实例上的应用程序不使用仅限身份的角色来访问其他 Amazon KMS 加密资源,例如 Amazon S3 对象或 Dynamo DB 表。这些操作是使用 Amazon EC2 实例角色的凭证或您在实例上配置的其他 Amazon 凭证完成的。

仅限身份的角色受服务控制策略(SCP)和 KMS 密钥策略的约束。如果 SCP 或 KMS 密钥拒绝仅限身份的角色访问 KMS 密钥,则您可能无法使用加密卷或使用加密 AMI 或快照启动 EC2 实例。

如果您正在使用 aws:SourceIpaws:VpcSourceIpaws:SourceVpcaws:SourceVpce Amazon 全局条件密钥创建基于网络位置拒绝访问的 SCP 或密钥政策略,则必须确保这些策略声明不适用于仅限实例的角色。有关示例策略,请参阅数据外围策略示例

仅限身份的角色 ARN 使用以下格式:

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

向实例颁发密钥授予时,密钥授予将颁发给特定于该实例的代入角色会话。被授权者主体 ARN 使用以下格式:

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id