A criptografia do Amazon Elastic Block Store (EBS) desempenha um papel fundamental na proteção dos dados sensíveis e confidenciais armazenados na nuvem da Amazon Web Services (AWS). Ela fornece uma camada adicional de segurança, ajudando a evitar violações de dados e possíveis danos à reputação da empresa. Além disso, a criptografia do EBS é fácil de configurar e usar, não exigindo conhecimentos avançados em criptografia por parte dos usuários. Outro ponto importante é que a criptografia do EBS ajuda as empresas a cumprir requisitos de conformidade regulatória, como a Lei Geral de Proteção de Dados (LGPD) no Brasil ou o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia. Ao criptografar os dados armazenados no EBS, as empresas estão adotando uma abordagem proativa para proteger a privacidade dos dados dos seus clientes.
No cenário abaixo, irei demonstrar como criptografar um volume EBS de uma instância em produção.
Etapa 01 - Criar chave KMS gerenciada pelo cliente
1) Acesse a console AWS e procure pelo serviço "Key Management Service".
2) No menu lateral a esquerda, clique em "Customer managed keys".
3) Clique em "Create key".
4) Selecione a "Key type" como "Symmetric" e a "Key usage" como "Encrypt and decrypt" e clique em "Next".
5) Defina um nome de sua escolha para o "Alias" da key e clique em "Next".
6) Em "Define key administrative permissions" clique em "Next".
7) Em "Define key usage permissions" clique em "Next".
8) Revise as informações e clique em "Finish" para criar a chave KMS.
Etapa 02 - Criptografando o volume EBS
1) Acesse a console AWS e procure pelo serviço "EC2".
2) No menu lateral a esquerda, clique em "Instances".
3) Selecione a instância desejada, clique em "Instance state" > "Stop instance", confirme clicando em "Stop".
4) Após a instância desligar, gere um snapshot do volume EBS da instância, no menu lateral a esquerda, clique em "Volumes".
5) Selecione o volume EBS e clique em "Actions" > "Create snapshot".
6) Clique em "Create snapshot".
7) No menu lateral a esquerda, clique em "Snapshots".
8) Selecione o snapshot, clique em "Actions" > "Copy snapshot".
9) Marque a opção "Encrypt this snapshot", em "KMS key" selecione a CMK criada na etapa 01 e clique em "Copy snapshot".
10) Após a cópia do snapshot finalizar, selecione o snapshot criptografado e clique em "Actions" > "Create volume from snapshot".
11) Defina o "Volume type" de sua escolha, garanta que o volume seja criado na mesma "Availability Zone" da instância EC2, em "KMS key" selecione a CMK criada na etapa 01 e clique em "Create volume".
12) No menu lateral a esquerda, clique em "Volumes".
13) Primeiro precisamos desatachar o volume sem criptografia da instância EC2, selecione o volume e clique em "Actions" > "Detach volume", confirme clicando em "Detach".
14) Em seguida, selecione o volume criptografado e clique em "Actions" > "Attach volume".
15) Em "Instance" selecione a instância EC2 e em "Device name" digite "/dev/sda1" pois o volume é um root volume de uma instância Linux e clique em "Attach volume".
16) No menu lateral a esquerda, clique em "Instances".
17) Selecione a instância desejada, clique em "Instance state" > "Start instance".
18) Pronto, no print abaixo podemos ver que o volume EBS está criptografado.
Top comments (0)