Encriptación de datos en EVS

Descripción general

Cuando sus servicios requieran encriptar los datos almacenados en los discos en Elastic Volume Service (EVS), le proporciona EVS la función de encriptación. Puede encriptar los discos de EVS recién creados. Las claves utilizadas por los discos de EVS cifrados son proporcionadas por KMS de DEW, seguras y cómodas. Por lo tanto, no es necesario establecer y mantener la infraestructura de gestión de claves.

La encriptación de disco se utiliza solo para discos de datos. Encriptación del disco del sistema se basa en la imagen. Consulte Encriptación de datos en IMS para obtener más detalles.

Quién puede utilizar la función de encriptación de disco

• Los administradores de seguridad (usuarios con derechos de Security Administrator) pueden otorgar derechos de acceso del KMS a EVS para utilizar la encriptación de disco.
• Cuando un usuario común que no tiene derechos de Security Administrator necesita utilizar la función de encriptación de disco, la condición varía en función de si el usuario es el primero en la región o proyecto actual en utilizar esta función.
  • Si el usuario es el primero, debe ponerse en contacto con un usuario que tenga derechos de Security Administrator para otorgar los derechos de acceso del KMS a EVS. Luego, el usuario puede utilizar la función de encriptación de disco.
  • Si el usuario no es el primero, puede utilizar directamente la función de encriptación del disco.

Desde la perspectiva de un tenant, siempre que se hayan otorgado los derechos de acceso del KMS a EVS en una región, todos los usuarios de la misma región pueden utilizar directamente la función de encriptación de disco.

Si hay varios proyectos en la región actual, los derechos de acceso de KMS deben concederse a cada proyecto en esta región.

Claves utilizadas para la encriptación de disco de EVS

Las claves proporcionadas por KMS para la encriptación de disco incluyen Clave maestra predeterminada y Customer Master Keys (CMK).

• Clave maestra predeterminada: Una clave creada automáticamente por EVS a través de KMS y denominada evs/default.

  La clave maestra predeterminada no se puede deshabilitar y no admite la eliminación programada.

• CMK: Claves creadas por los usuarios. Puede utilizar CMK existentes o crear una nueva. Para obtener más detalles, consulte Creación de una CMK.

Si los discos se cifran mediante un CMK, que luego se deshabilita o se programa para su eliminación, los discos ya no se pueden leer ni escribir en, y es posible que los datos de estos discos nunca se restablezcan. Consulte Tabla 1 para obtener más información.

Tabla 1 Impacto en los discos encriptados tras la indisponibilidad de una CMK

Estado de CMK	Impacto en los discos encriptados	Método de restauración
Desactivado	Si se conecta un disco encriptado a un ECS, el disco aún se puede usar, pero las operaciones normales de lectura/escritura no están garantizadas de forma permanente. Si se desconecta un disco encriptado, se producirá un error al volver a conectarlo.	Habilite el CMK. Para obtener más información, consulte Habilitación de uno o más CMK.
Pendiente de eliminación		Cancele la eliminación programada para la CMK. Para obtener más información, consulte Cancelación de la eliminación programada de uno o más CMK.
Eliminado		Los datos de los discos nunca se pueden restaurar.

Se le cobrará por las CMK que utilice. Si se utilizan claves básicas, asegúrese de que el saldo de su cuenta sea suficiente. Si se utilizan claves profesionales, renueve su pedido a tiempo. De lo contrario, sus servicios podrían verse interrumpidos y sus datos podrían no restablecerse nunca, ya que los discos encriptados se vuelven ilegibles y no se pueden escribir.

Uso de KMS para encriptar un disco (en la consola)

1. En la consola de gestión de EVS, haga clic en Buy Disk.
2. Seleccione la casilla de verificación Encryption.
   1. Haga clic en More. Aparecerá la casilla de verificación Encryption.
      Figura 1 Otro más
      
   2. Cree una delegación.

      Seleccione Encrypt. Si EVS no tiene autorización para acceder a KMS, aparece el cuadro de diálogo Create Agency. En este caso, haga clic en Yes para autorizarlo. Después de la autorización, EVS puede obtener claves de KMS para cifrar y descifrar discos.

      

      Antes de utilizar la función de encriptación de disco, los derechos de acceso del KMS deben concederse a EVS. Si tiene el derecho de concesión, otorgue los derechos de acceso del KMS a EVS directamente. Si no tiene el derecho, póngase en contacto con un usuario con derechos de Security Administrator para conceder los derechos de acceso de KMS a EVS y, a continuación, repita las operaciones anteriores.

   3. Configure los parámetros de encriptación.
      Seleccione Encrypt. Si la autorización se realiza correctamente, aparecerá el cuadro de diálogo de configuración de encriptación.

      Figura 2 Configuración de encriptación
      

      Seleccione uno de los siguientes tipos de claves en la lista desplegable KMS Key Name:

      • Clave principal predeterminada. Una vez otorgados los derechos de acceso de KMS a EVS, el sistema crea automáticamente una clave principal predeterminada denominada evs/default.
      • Una CMK existente o nueva. Para obtener más detalles sobre cómo crearla, consulte Creación de una CMK.

3. Configure otros parámetros para el disco. Para obtener más detalles sobre los parámetros, consulte Compra de un disco de EVS.

Uso de KMS para encriptar un disco (con una API)

Puede invocar a la API requerida de EVS para comprar un disco de EVS cifrado. Para obtener más información, consulte la Referencia de las API de Elastic Volume Service.