亚马逊AWS官方博客

为新的 EBS 卷选择默认加密

我的 AWS 团队同事一直在寻找方法,让您更轻松、更简单地保护您的数据,使其免受未经授权的访问。这项工作体现在很多不同的形式中,包括 AWS 云安全页面、AWS 安全博客、一系列丰富的 AWS 安全白皮书、同样丰富的 AWS 安全、身份和合规性服务集以及各项服务中广泛的安全功能。您可能还记得在这篇博客中读到过,很多 AWS 服务支持静态和传输中加密、日志记录、IAM 角色和策略等。

默认加密
今天,我想向您介绍一个新功能,它可以让加密 Amazon EBS (Elastic Block Store) 卷的使用更加简单。此次发布基于早前的一些 EBS 安全性发布,其中包括:

现在,您可以指定您希望以加密的形式创建所有新创建的 EBS 卷,并可以选择使用 AWS 提供的默认密钥,或者您创建的密钥。由于各个 AWS 区域都有特定的密钥和 EC2 设置,您必须按区域来进行选择。

这项新功能可使您更加简单轻松的确保以加密形式创建新创建的卷,从而使您能够达到保护和合规目标。它将不会对现有的未加密卷造成影响。

如果您使用需要使用加密卷的 IAM 策略,您可以使用此功能来避免在启动实例时因意外引用未加密卷而可能造成的启动失败。您的安全团队可以在默认情况下启用加密,无需与您的开发团队进行协调,且无需进行其他代码或操作更改。

加密的 EBS 卷可提供指定的实例吞吐量、卷性能和延迟,不需要额外付费。我打开 EC2 控制台,确保我处于相关区域,并单击 设置以开始使用:

然后,我选择始终加密新的 EBS 卷

我可以单击更改默认密钥并将其中一个密钥选为默认密钥:

任何情况下,我都可以单击更新继续操作。这里需要注意一点:此设置适用于单一 AWS 区域;对于每个相关区域,我都需要重复上述步骤,以选中选项和选择密钥。

接下来,我在此区域中创建的所有 EBS 卷都将加密,无需我作出额外的努力。当我创建卷时,我可以使用在 EC2 设置中选择的密钥,或者可以选择另一个密钥:

我创建的任何快照都将使用加密卷所用的密钥进行加密:

如果我使用卷创建快照,我可以使用原密钥或选择另一个密钥:

注意事项
关于这个重要的 AWS 新功能,您应该了解以下几点:

旧实例类型 – 启用此功能后,您将无法启动更多 C1、M1、M2 或 T1 实例,或将新加密的 EBS 卷附加到这些类型的现有实例。我们建议您迁移到更新的实例类型。

AMI 共享 – 正如我前面提到的,最近我们提供了一项功能,可允许您与其他 AWS 账户共享加密的 AMI。但是,您不能公开共享它们,您应该使用一个单独的帐户来创建社区 AMI、Marketplace AMI 和公共快照。要了解更多信息,请阅读如何在账户间共享加密的 AMI 以启动加密的 EC2 实例

其他 AWS服务Amazon Relational Database Service (RDS)Amazon WorkSpaces 等使用 EBS 进行存储的 AWS 服务执行自己的加密和密钥管理,不受此发布的影响。Amazon EMR 等在您的账户中创建卷的服务将自动遵照加密设置,如果启用了始终加密功能,则将使用加密的卷。

API / CLI 访问 – 您也可以通过 EC2 CLI 和 API 访问此功能。

免费 – 启用或使用加密不产生费用。如果您使用加密的 AMI 并为每个 AWS 账户创建一个单独的 AMI,那么您现在可以与其他账户共享 AMI,从而降低存储利用率和费用。

按区域 – 如上所述,您可以根据区域选择进行默认加密。

现已推出
此功能现已推出,即日起您便可在所有公共 AWS 区域和 GovCloud 中进行使用。此功能在中国的 AWS 区域不可用。

本篇作者

Jeff Barr

AWS 首席布道师; 2004年开始发布博客,此后便笔耕不辍。