AWS KMS и связанные ресурсы

Question

Я пытаюсь лучше понять, что происходит, когда CMK отключен в AWS KMS. В частности, если у меня есть том EBS, который зашифрован этим ключом, что. происходит с этим томом, а EC2 подключен к нему?

Не становится ли том непригодным для использования на время, когда CMK отключен? Выключен ли EC2, к которому подключен том?

Буду признателен за любые рекомендации.

Best,

Answer 1

Из документов :

Если вы отключите CMK, его нельзя будет использовать для шифрования или дешифрования данных, пока вы не включите его снова.

Когда вы используете CMK для шифрования тома root EBS и затем отключите его, вы не сможете запустить его снова.

Только несколько операций возможны с отключенной клавишей , например, DescribeKey, CreateAlias ​​или GetKeyPolicy.

Когда вы отключите ключ во время работы экземпляра, он сохранит Бег. Причина (я думаю) такая же, как когда вы удаляете ключ :

Несколько AWS сервисов интегрируются с AWS KMS для защиты ваших данных. Некоторые из этих сервисов, такие как Amazon EBS и Amazon Redshift, используют главный ключ клиента (CMK) в AWS KMS для генерации ключа данных, а затем используют ключ данных для шифрования ваших данных. Эти ключи открытого текста сохраняются в памяти , пока данные, которые они защищают, активно используются.

Планирование CMK для удаления делает его непригодным для использования, но это не предотвращает AWS служба использования ключей данных в памяти для шифрования и дешифрования ваших данных . На сервис не влияет, пока он не должен использовать CMK, который ожидает удаления или удален.