Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Persyaratan untuk enkripsi Amazon EBS
<a name="ebs-encryption-requirements"></a>

Sebelum memulai, verifikasi bahwa persyaratan berikut dipenuhi.

**Topics**
+ [Tipe volume yang mendukung](#ebs-encryption-volume-types)
+ [Tipe instans yang didukung](#ebs-encryption_supported_instances)
+ [Izin untuk pengguna](#ebs-encryption-permissions)
+ [Izin untuk instans](#ebs-encryption-instance-permissions)

## Tipe volume yang mendukung
<a name="ebs-encryption-volume-types"></a>

Enkripsi mendukung oleh semua tipe volume EBS. Anda dapat mengharapkan performa IOPS yang sama pada volume terenkripsi seperti pada volume yang tidak terenkripsi, dengan efek minimal pada latensi. Anda dapat mengakses volume terenkripsi dengan cara yang sama seperti Anda mengakses volume yang tidak terenkripsi. Enkripsi dan dekripsi ditangani secara transparan, dan tidak memerlukan tindakan tambahan dari Anda atau aplikasi Anda.

## Tipe instans yang didukung
<a name="ebs-encryption_supported_instances"></a>

Enkripsi Amazon EBS tersedia di semua jenis instans [generasi saat ini](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) dan [generasi sebelumnya](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).

## Izin untuk pengguna
<a name="ebs-encryption-permissions"></a>

Bila Anda menggunakan kunci KMS untuk enkripsi EBS, kebijakan kunci KMS memungkinkan setiap pengguna dengan akses ke AWS KMS tindakan yang diperlukan untuk menggunakan kunci KMS ini untuk mengenkripsi atau mendekripsi sumber daya EBS. Anda harus memberikan izin kepada pengguna untuk melakukan tindakan berikut agar dapat menggunakan enkripsi EBS:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`

**Tip**  
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

Untuk informasi selengkapnya, lihat [Mengizinkan akses ke AWS akun dan mengaktifkan kebijakan IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) di bagian **Kebijakan kunci default** di *Panduan AWS Key Management Service Pengembang*.

## Izin untuk instans
<a name="ebs-encryption-instance-permissions"></a>

Saat instans mencoba berinteraksi dengan AMI, volume, atau snapshot terenkripsi, pemberian kunci KMS dikeluarkan untuk peran khusus identitas instans. Peran khusus identitas adalah peran IAM yang digunakan oleh instans untuk berinteraksi dengan AMI, volume, atau snapshot yang terenkripsi atas nama Anda. 

Identity-only peran tidak perlu dibuat atau dihapus secara manual, dan mereka tidak memiliki kebijakan yang terkait dengannya. Selain itu, Anda tidak dapat mengakses kredensial peran khusus identitas.

**catatan**  
Identity-only peran tidak digunakan oleh aplikasi pada instans Anda untuk mengakses sumber daya AWS KMS terenkripsi lainnya, seperti objek Amazon S3 atau tabel Dynamo DB. Operasi ini dilakukan dengan menggunakan kredensil peran instans Amazon EC2, atau kredenal AWS lain yang telah Anda konfigurasikan pada instans Anda.

Identity-only peran tunduk pada [kebijakan kontrol layanan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP), dan kebijakan [kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Jika kunci SCP atau KMS menolak akses peran identitas saja ke kunci KMS, Anda mungkin gagal meluncurkan instans EC2 dengan volume terenkripsi, atau menggunakan AMI atau snapshot terenkripsi.

Jika Anda membuat SCP atau kebijakan kunci yang menolak akses berdasarkan lokasi jaringan menggunakan`aws:SourceIp`,,, atau kunci kondisi `aws:SourceVpce` AWS global `aws:VpcSourceIp``aws:SourceVpc`, maka Anda harus memastikan bahwa pernyataan kebijakan ini tidak berlaku untuk peran instance-only. Untuk contoh kebijakan, lihat [Contoh Kebijakan Perimeter Data](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).

Identity-only ARN peran menggunakan format berikut:

```
arn:{{aws-partition}}:iam::{{account_id}}:role/aws:ec2-infrastructure/{{instance_id}}
```

Ketika pemberian kunci diberikan kepada sebuah instans, pemberian kunci tersebut dikeluarkan untuk sesi peran yang diasumsikan khusus untuk instans tersebut. ARN pengguna utama penerima menggunakan format berikut:

```
arn:{{aws-partition}}:sts::{{account_id}}:assumed-role/aws:ec2-infrastructure/{{instance_id}}
```