我正在修补EBSencryption卷。 但是我感到震惊,不明白它是如何工作的。
我有两个用户帐户xyz和abc与pipe理员访问从根帐户创build。
我已经从xyz帐户创build了一个密钥,说xyz-key并使用它encryption卷vol-xyz,并添加了几个文件。 xyz-key具有密钥pipe理员和密钥用户作为用户xyz。
现在我已经login到控制台为abc用户,分离vol-xyz并挂载到不同的实例。 现在,当我尝试访问卷上的内容时,所有文件都可用且未encryption。
不应该encryption卷吗?
当您使用KMSencryption对卷进行encryption时,数据在“静止”时会被encryption。 这意味着,数据在EBS卷硬件上进行encryption。 不是从EC2实例访问它时 。 当您从EBS卷中读取块时,EC2 / EBS系统将自动解密数据并将其解密给您。
数据在块级进行encryption,而不是在文件系统级。 当你的Linux / Windows EC2实例“看到”这些块时,数据已经被解密了。
重要提示:您永远不会看到encryption表单中的数据。
对EBS卷进行encryption的KMS 不会隐藏访问您EC2实例的其他人的数据。
当卷连接到另一个EC2实例时,KMSencryptionEBS卷不会隐藏数据。
对EBS卷进行encryption的KMS 确实会隐藏直接访问EBS卷硬件的人的数据。
如果启动 EC2实例的人员无权访问KMS密钥,则对EBS卷进行encryption的KMS 会隐藏数据。 在这种情况下,EC2实例将不会启动 。
一旦EC2实例启动并运行,任何有权访问EC2实例的人都可以访问EBS卷。 而且数据永远不会出现给你encryption。