亚马逊 Elastic Block Store(亚马逊EBS)的使用方式 Amazon KMS - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Elastic Block Store(亚马逊EBS)的使用方式 Amazon KMS

本主题详细讨论了 Amazon Elastic Block Store (AmazonEBS) Amazon KMS 如何使用加密卷和快照。有关加密亚马逊EBS卷的基本说明,请参阅亚马逊EBS加密

亚马逊EBS加密

当您将加密的 Amazon EBS 卷连接到支持的亚马逊弹性计算云 (AmazonEC2) 实例类型时,该卷上的静态数据、磁盘 I/O 以及从该卷创建的快照都会被加密。加密发生在托管 Amazon EC2 实例的服务器上。

所有 Amazon EBS 卷类型都支持此功能。访问加密卷的方式与访问其他卷的方式相同;加密和解密是透明处理的,无需您、您的EC2实例或应用程序采取任何其他操作。加密 卷的快照会自动加密,通过加密 快照创建的卷也会自动加密。

卷的加密状态是在您创建EBS卷时确定的。您不能更改现有卷的加密状态。但是,您可以在加密卷和未加密卷之间迁移数据,并在复制快照时应用新的加密状态。

默认情况下,Amazon EBS 支持可选加密。您可以对您 Amazon Web Services 账户 和地区的所有新EBS卷和快照副本自动启用加密。此配置设置不会影响现有卷或快照。有关详细信息,请参阅《亚马逊EBS用户指南》中的亚马逊EBS加密

使用KMS密钥和数据密钥

创建加密的 Amazon EBS 卷时,需要指定 Amazon KMS key。默认情况下,亚马逊EBS在您的账户中EBS使用 f Amazon 托管式密钥or Amazon (aws/ebs)。不过,您可以指定自己创建和管理的客户托管的密钥

要使用客户管理的密钥,您必须授予亚马逊代表您使用该KMS密钥的EBS权限。有关所需权限的列表,请参阅《亚马逊IAM用户指南》或《亚马逊EC2用户指南》中的EC2用户权限

重要

Amazon 仅EBS支持对称KMS密钥。您不能使用非对称KMS密钥对 Amazon EBS 卷进行加密。有关确定KMS密钥是对称还是非对称的帮助,请参阅。识别不同的密钥类型

对于每个卷,Amazon EBS 会要求 Amazon KMS 生成一个使用您指定的密KMS钥加密的唯一数据密钥。Amazon 将加密的数据密钥与卷一起EBS存储。然后,当您将卷连接到 Amazon EC2 实例时,Amazon 会EBS调 Amazon KMS 用解密数据密钥。Amazon EBS 使用虚拟机管理程序内存中的纯文本数据密钥来加密该卷的所有磁盘 I/O。有关详细信息,请参阅《亚马逊EC2用户指南》或《亚马逊用户指南》中的EBS加密工作原理。EC2

Amazon EBS 加密环境

在对的请求GenerateDataKeyWithoutPlaintext解密请求中, Amazon KMS Amazon EBS 使用带有名称/值对的加密上下文,用于识别请求中的卷或快照。加密上下文中的名称不会发生变化。

加密上下文 是一组包含任意非机密数据的键值对。当您在加密数据的请求中包含加密上下文时,会以加密 Amazon KMS 方式将加密上下文绑定到加密数据。要解密数据,您必须传入相同的加密上下文。

对于所有卷和通过 Amazon EBS CreateSnapshot操作创建的加密快照,Amazon EBS 使用卷 ID 作为加密上下文值。在 CloudTrail日志条目的requestParameters字段中,加密上下文类似于以下内容:

"encryptionContext": { "aws:ebs:id": "vol-0cfb133e847d28be9" }

对于通过 Amazon EC2 CopySnapshot操作创建的加密快照,Amazon EBS 使用快照 ID 作为加密上下文值。在 CloudTrail日志条目的requestParameters字段中,加密上下文类似于以下内容:

"encryptionContext": { "aws:ebs:id": "snap-069a655b568de654f" }

检测亚马逊EBS故障

要创建加密EBS卷或将该卷附加到EC2实例,Amazon EBS 和 Amazon EC2 基础设施必须能够使用您为EBS卷加密指定的KMS密钥。当KMS密钥不可用时(例如,当其密钥状态不可用时),卷创建或Enabled连接卷将失败。

在这种情况下,Amazon EBS 会向亚马逊发送一个事件 EventBridge (以前称为 “ CloudWatch 事件”),以通知您有关失败的信息。在中 EventBridge,您可以建立触发自动操作以响应这些事件的规则。有关更多信息,请参阅《亚马逊EC2用户指南》EBS中的亚马逊 CloudWatch 活动,尤其是以下部分:

要修复这些故障,请确保已启用您为EBS卷加密指定的密KMS钥。为此,请先查看KMS密钥以确定其当前密钥状态(中的状态列 Amazon Web Services Management Console)。然后,请参阅以下任一链接中的信息:

Amazon CloudFormation 用于创建加密的 Amazon EBS 卷

您可以使用Amazon CloudFormation创建加密的 Amazon EBS 卷。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的AWSEC2::: Vol ume。