本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EBS 加密要求
在您开始之前,确认您满足以下要求。
支持的卷类型
所有 EBS 卷类型都支持加密。您可能希望加密卷具有与未加密卷相同的 IOPS 性能,同时对延迟的影响最低。您可以采用与访问未加密卷相同的方式来访问加密卷。加密和解密是以透明方式处理的,并且不需要您或您的应用程序执行额外操作。
支持的实例类型
Amazon EBS 加密适用于所有当前一代和上一代实例类型。
用户的权限
当您使用 KMS 密钥进行 EBS 加密时,KMS 密钥策略允许任何有权访问所需 Amazon KMS 操作的用户使用此 KMS 密钥来加密或解密 EBS 资源。您必须授予用户调用以下操作的权限才能使用 EBS 加密:
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt
提示
为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。相反,使用kms:GrantIsForAWSResource条件密钥允许用户仅在 Amazon 服务代表用户创建授权时才允许用户在 KMS 密钥上创建授权,如以下示例所示。
有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中 “默认密钥策略” 部分中的允许访问 Amazon 账户和启用 IAM 策略。
实例的权限
当实例尝试与加密的 AMI、卷或快照进行交互时,系统会向该实例的仅限身份角色发放 KMS 密钥授权。仅限身份角色是一个 IAM 角色,实例使用该角色代表您与加密的 AMI、卷或快照进行交互。
Identity-only 无需手动创建或删除角色,也没有与之关联的策略。此外,您无法访问仅限身份的角色凭证。
注意
Identity-only 您的实例上的应用程序不使用角色来访问其他 Amazon KMS 加密资源,例如 Amazon S3 对象或 Dynamo DB 表。这些操作是使用 Amazon EC2 实例角色的 Amazon 证书或您在实例上配置的其他证书完成的。
Identity-only 角色受服务控制策略 (SCP) 和 KMS 密钥策略的约束。如果 SCP 或 KMS 密钥拒绝仅限身份的角色访问 KMS 密钥,则您可能无法使用加密卷或使用加密 AMI 或快照启动 EC2 实例。
如果您要使用aws:SourceIp、aws:VpcSourceIp、或aws:SourceVpce Amazon 全局条件密钥创建基于网络位置拒绝访问的 SCP 或密钥策略,则必须确保这些策略声明不适用于仅限实例的角色。aws:SourceVpc有关示例策略,请参阅数据外围策略示例
Identity-only 角色 ARN 使用以下格式:
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
向实例颁发密钥授予时,密钥授予将颁发给特定于该实例的代入角色会话。被授权者主体 ARN 使用以下格式:
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id