亚马逊AWS产品学习 ------ EBS(3) ---- 加密encryption_ebs encryption support

概述

你可能会有疑问，EBS只是存储，如何进行加密呢？

EBS挂载在EC2上，加密是在EC2侧进行的，EC2将加密好的数据写入EBS内，这就是EBS加密。

那么有哪些方法能对EBS进行加密么？有以下几种方法（前提是EBS挂载在EC2上，是为了利用EC2的计算能力）：

• 用第三方EBS加密工具（只有SSD和HDD支持）
• 使用加密EBS
• 在操作系统层面进行数据加密（如使用数据加密插件）
• 在应用层面进行数据加密
• EBS使用加密文件系统

 

非加密EBS转换为加密

没有直接的方式进行状态转换

方法1：前提时未加密EBS挂载在云主机上

• 创建一个加密EBS；
• 将加密EBS挂载到该云主机上；
• 将未加密的EBS的数据复制到新挂载的EBS上。

方法2：

• 不加密EBS生成快照；
• 复制快照时选择加密；
• 通过生成的快照新建一个EBS。

 

非加密系统盘转换为加密

没有直接的方式进行状态转换，可通过以下间接方法：

• 将系统盘挂载到云主机上；
• 进行相关软件安装；
• 创建该云主机镜像
• 复制该镜像的同时进行加密

加密密钥

AWS会给每个account分配一个默认密钥(default CMK)。

加密EBS及其快照，还有快照产生的EBS都使用同一个密钥 。

已加密的EBS及快照无法更改加密密钥，如果要更改加密密钥，则在建立快照时选择另一个密钥。