Comment déchiffrer un volume EBS chiffré ?

Date de la dernière mise à jour : 20/08/2020

Je souhaite déchiffrer un volume Amazon Elastic Block Store (Amazon EBS) chiffré à l'aide d'un AWS Key Management Service (KMS) par défaut ou d'une clé Customer Master Key (CMK) personnalisée. Comment puis-je procéder ?

Brève description

Vous pouvez copier un volume chiffré vers un nouveau volume non chiffré à l'aide d'une instance Amazon Elastic Compute Cloud (Amazon EC2) temporaire. Vous pouvez ensuite attacher le volume non chiffré à votre instance d'origine.

Solution

Remarque : la solution suivante utilise un volume racine à titre d'exemple. Vous pouvez également effectuer ces étapes sur un volume secondaire.

1.    Créez un instantané du volume racine chiffré ou une AMI de l'instance avec le volume chiffré. Utilisez des instantanés et des AMI pour fournir des sauvegardes pour vos ressources avant d'effectuer des tâches majeures.

2.    Ouvrez la console Amazon EC2.

3.    Arrêtez l'instance avec le volume racine chiffré.

4.    Dans l'onglet Description, sous Périphérique racine, choisissez le volume racine, puis l'ID EBS. Notez le nom de votre périphérique racine.

Remarque : le périphérique racine diffère selon l'AMI. Par exemple, Amazon Linux 1 et 2 utilisent /dev/xvda. D'autres distributions, telles que Ubuntu 14, 16, 18, CentOS7 et RHEL 7.5, utilisent /dev/sda1.

5.    Sélectionnez Actions, puis Détacher un volume et Oui, détacher. Notez la zone de disponibilité.

6.    Lancez une instance de secours avec un système d'exploitation similaire et dans la même zone de disponibilité que l'instance d'origine.

7.    Une fois que l'instance de secours est lancée, choisissez Volumes dans le volet de navigation, puis sélectionnez le volume racine chiffré détaché de l'instance d'origine.

8.    Choisissez Actions, Attacher un volume.

9.    Choisissez l'ID d'instance de secours (id-xxxx) et attachez le volume chiffré à /dev/xvdf ou /dev/sdf.

10.   Créez un volume non chiffré dans la même zone de disponibilité que le volume chiffré d'origine. 

Important : pour éviter la perte de données, vérifiez que votre nouvelle taille de volume est supérieure à la taille du volume chiffré.

11.   Attachez le nouveau volume non chiffré à l'instance de secours en tant que /dev/xvdg ou /dev/sdg.

12.   Connectez-vous à l'instance de secours et confirmez la présence du périphérique racine et des deux volumes attachés à l'aide de la commande lsblk .

$lsblk
NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk 
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk 
└─xvdf1 202:81   0   8G  0 part 
xvdg    202:96   0   8G  0 disk

13.   En tant que sudoer/root, utilisez la commande dd pour transférer les données du volume chiffré d'origine (le fichier d'entrée est /dev/xvdf) vers le nouveau volume non chiffré (le fichier de sortie est /dev/xvdg).

#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Remarque : le temps de transfert des données varie en fonction de la taille et du type du volume et de l'instance.

14.   Détachez le nouveau volume non chiffré (/dev/xvdg) de l'instance de secours. Ensuite, attachez-le à l'instance d'origine en tant que /dev/xvda ou /dev/sda1.

15.   Connectez-vous à l'instance d'origine pour vérifier que l'instance lit le nouveau volume racine non chiffré (copié).

16.   Pour vous assurer que le volume racine est désormais non chiffré, sélectionnez l'instance d'origine dans la console Amazon EC2, puis affichez les propriétés du volume.

Remarque : vous devrez peut-être redémarrer ou arrêter et démarrer l'instance pour enregistrer les modifications de partition dans le noyau.

17.   Répétez le processus pour tous les autres volumes chiffrés sur l'instance d'origine afin de créer des volumes « clonés » qui ne sont pas chiffrés.

18.   Fermez l'instance de secours après avoir vérifié que les nouveaux volumes non chiffrés fonctionnent correctement.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?