Anotações sobre o AWS EBS para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:
Anotações gerais
- Armazenamento a nível de bloco
- Independente da vida útil da instância
- Snapshots são armazenados de forma incremental, é cobrado pelos blocos alterados armazenados
- É automaticamente replicado entre AZ´s
- Mas é armazenado em uma única AZ
- É cobrado pelo Tipo e pelo IOPS provisionado.
- Snapshot point-in-time
- Snapshots podem ser copiados entre Regiões
- Memory scrubbing
- Ate 16 TiB
- Pode ser anexado a uma única instância na mesma AZ
- Não é criptografado por padrão
- Habilitar a criptografia durante a boot
- Não pode alterar uma CMK associada a um snapshot ou EBS
- Mas você pode associar uma nova CMK durante uma operação de cópia do snapshot
Flag - Delete on Termination
- Para deletar o EBS quando deleta a EC2
- Não vem ativado por padrão
Segurança de dados do Amazon EBS
- Se você tiver procedimentos que exigem que todos os dados sejam apagados usando um método específico, após ou antes do uso (ou ambos), como aqueles detalhados em DoD 5220,22-M (Manual Operacional do Programa Nacional de Segurança Industrial) ou em NIST 800-88 (Diretrizes para higienização de mídia), será possível fazer isso no Amazon EBS.
Essa atividade em nível de bloco será refletida na mídia de armazenamento subjacente dentro do serviço do Amazon EBS.
NIST 8000-88
DoD 5220.22 M
Os dados são apagados imediatamente antes da reutilização
AWS não apaga dos dados, isso é de responsabilidade do usuário
Criptografia
- Os volumes EBS podem ser criados e anexados a um tipo de instância compatível e compatível com os seguintes tipos de dados:
-- Dados em repouso
-- Todas as E/S de disco, ou seja, todos os dados que se movem entre o volume e a instância
-- Todos os snapshots criados a partir do volume
-- Todos os volumes criados a partir desses snapshots
- A criptografia ocorre nos servidores que hospedam instâncias EC2, fornecendo criptografia de dados em trânsito de instâncias EC2 para armazenamento EBS.
- A criptografia EBS é compatível com todos os tipos de volume EBS
- A criptografia EBS está disponível apenas em tipos de instância selecionados.
- Volumes criados a partir de snapshots criptografados e snapshots de volumes criptografados são criptografados automaticamente usando a mesma chave de criptografia.
- A criptografia do EBS usa chaves mestras do cliente (CMK) do AWS KMS ao criar volumes criptografados e quaisquer snapshots criados a partir dos volumes criptografados.
Os volumes EBS podem ser criptografados usando:
-- uma CMK padrão criada para você automaticamente.
-- uma CMK que você criou separadamente usando o AWS KMS, oferecendo mais flexibilidade, incluindo a capacidade de criar, alternar, desabilitar, definir controles de acesso e auditar as chaves de criptografia usadas para proteger seus dados.Snapshots públicos ou compartilhados de volumes criptografados não são suportados, porque outras contas poderiam descriptografar seus dados e precisam ser migradas para um status não criptografado antes do compartilhamento.
Os volumes não criptografados existentes não podem ser criptografados diretamente , mas podem ser migrados por:
-- Opção 1
--- Criar um snapshot não criptografado do volume
--- Criar uma cópia criptografada de um snapshot não criptografado
--- Criar um volume criptografado a partir do snapshot criptografado
-- Opção 2
--- Criar um snapshot não criptografado do volume
--- Criar um volume criptografado a partir de um snapshot não criptografadoUm snapshot criptografado pode ser criado a partir de um snapshot não criptografado criando uma cópia criptografada do snapshot não criptografado.
O volume não criptografado não pode ser criado diretamente a partir de um volume criptografado, mas precisa ser migrado
Top comments (0)