Criptografar Amazon EBS utilizando KMS com CMK gerenciada pelo cliente

Tabela de conteúdos

A criptografia do Amazon Elastic Block Store (EBS) desempenha um papel fundamental na proteção dos dados sensíveis e confidenciais armazenados na nuvem da Amazon Web Services (AWS). Ela fornece uma camada adicional de segurança, ajudando a evitar violações de dados e possíveis danos à reputação da empresa. Além disso, a criptografia do EBS é fácil de configurar e usar, não exigindo conhecimentos avançados em criptografia por parte dos usuários. Outro ponto importante é que a criptografia do EBS ajuda as empresas a cumprir requisitos de conformidade regulatória, como a Lei Geral de Proteção de Dados (LGPD) no Brasil ou o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia. Ao criptografar os dados armazenados no EBS, as empresas estão adotando uma abordagem proativa para proteger a privacidade dos dados dos seus clientes.

No cenário abaixo, irei demonstrar como criptografar um volume EBS de uma instância em produção.

Etapa 01 - Criar chave KMS gerenciada pelo cliente #

Acesse a console AWS e procure pelo serviço “Key Management Service”.

No menu lateral a esquerda, clique em “Customer managed keys”.

Clique em “Create key”.

Selecione a “Key type” como “Symmetric” e a “Key usage” como “Encrypt and decrypt” e clique em “Next”.

Defina um nome de sua escolha para o “Alias” da key e clique em “Next”.

Em “Define key administrative permissions” clique em “Next”.

Em “Define key usage permissions” clique em “Next”.

Revise as informações e clique em “Finish” para criar a chave KMS.

Etapa 02 - Criptografando o volume EBS #

Acesse a console AWS e procure pelo serviço “EC2”.

No menu lateral a esquerda, clique em “Instances”.

Selecione a instância desejada, clique em “Instance state” > “Stop instance”, confirme clicando em “Stop”.

Após a instância desligar, gere um snapshot do volume EBS da instância, no menu lateral a esquerda, clique em “Volumes”.

Selecione o volume EBS e clique em “Actions” > “Create snapshot”.

Clique em “Create snapshot”.

No menu lateral a esquerda, clique em “Snapshots”.

Selecione o snapshot, clique em “Actions” > “Copy snapshot”.

Marque a opção “Encrypt this snapshot”, em “KMS key” selecione a CMK criada na etapa 01 e clique em “Copy snapshot”.

Após a cópia do snapshot finalizar, selecione o snapshot criptografado e clique em “Actions” > “Create volume from snapshot”.

Defina o “Volume type” de sua escolha, garanta que o volume seja criado na mesma “Availability Zone” da instância EC2, em “KMS key” selecione a CMK criada na etapa 01 e clique em “Create volume”.

No menu lateral a esquerda, clique em “Volumes”.

Primeiro precisamos desatachar o volume sem criptografia da instância EC2, selecione o volume e clique em “Actions” > “Detach volume”, confirme clicando em “Detach”.

Em seguida, selecione o volume criptografado e clique em “Actions” > “Attach volume”.

Em “Instance” selecione a instância EC2 e em “Device name” digite “/dev/sda1” pois o volume é um root volume de uma instância Linux e clique em “Attach volume”.

No menu lateral a esquerda, clique em “Instances”.

Selecione a instância desejada, clique em “Instance state” > “Start instance”.

Pronto, no print abaixo podemos ver que o volume EBS está criptografado.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.