本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EBS 加密的需求
<a name="ebs-encryption-requirements"></a>

開始之前，請確認符合下列要求。

**Topics**
+ [支援的磁碟區類型](#ebs-encryption-volume-types)
+ [支援的執行個體類型](#ebs-encryption_supported_instances)
+ [使用者的許可](#ebs-encryption-permissions)
+ [執行個體的許可](#ebs-encryption-instance-permissions)

## 支援的磁碟區類型
<a name="ebs-encryption-volume-types"></a>

所有 EBS 磁碟區類型皆支援加密。您可以預期加密磁碟區和未加密磁碟區皆具有相同的 IOPS 效能，其對延遲僅會有最小程度的影響。您可以使用存取未加密磁碟區的相同方式存取加密磁碟區。加密和解密的處理過程皆相當透明，且無須您或您的應用程式進行任何額外動作。

## 支援的執行個體類型
<a name="ebs-encryption_supported_instances"></a>

Amazon EBS 加密適用於所有[目前世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances)和[上一世代](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances)的執行個體類型。

## 使用者的許可
<a name="ebs-encryption-permissions"></a>

當您使用 KMS 金鑰進行 EBS 加密時，KMS 金鑰政策可讓有權存取必要 AWS KMS 動作的任何使用者使用此 KMS 金鑰來加密或解密 EBS 資源。您必須授予使用者呼叫下列動作的許可，才能使用 EBS 加密：
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`

**提示**  
若要遵循最低權限原則人，請勿允許 `kms:CreateGrant` 的完整存取。反之，使用 `kms:GrantIsForAWSResource`條件金鑰來允許使用者在 KMS 金鑰上建立授予，前提是該授予是由 AWS 服務代使用者建立，如下列範例所示。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

如需詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[允許存取 AWS 帳戶並啟用預設金鑰政策一節中的 IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) **政策**。

## 執行個體的許可
<a name="ebs-encryption-instance-permissions"></a>

當執行個體嘗試與加密的 AMI、磁碟區或快照進行互動，系統會向執行個體的僅限身分識別角色發放 KMS 金鑰權限。僅限身分識別角色是一種 IAM 角色，可讓執行個體用來代表您與加密的 AMI、磁碟區或快照互動。

僅限身分識別的角色不需要手動建立或刪除，也沒有相關聯的政策。此外，您無法存取僅限身分識別的角色憑證。

**注意**  
執行個體上的應用程式不會使用僅限身分角色來存取其他 AWS KMS 加密的資源，例如 Amazon S3 物件或 Dynamo DB資料表。這些操作會使用 Amazon EC2 執行個體角色的登入資料，或您在執行個體上設定的其他 AWS 登入資料來完成。

僅限身分識別的角色受到[服務控制政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 和 [KMS 金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)的約束。如果 SCP 或 KMS 金鑰拒絕僅限身分角色存取 KMS 金鑰，您可能無法啟動具有加密磁碟區的 EC2 執行個體，或使用加密的 AMI 或快照。

如果您要建立 SCP 或金鑰政策，根據使用 `aws:SourceIp`、`aws:SourceVpc`、 `aws:VpcSourceIp`或 `aws:SourceVpce` AWS 全域條件金鑰的網路位置拒絕存取，則必須確保這些政策陳述式不適用於僅限執行個體的角色。如需範例政策，請參閱[資料周邊政策範例](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main)。

僅限身分識別的角色 ARN 使用下列格式：

```
arn:{{aws-partition}}:iam::{{account_id}}:role/aws:ec2-infrastructure/{{instance_id}}
```

將金鑰權限發給執行個體時，金鑰權限會發給該執行個體專屬的擔任角色工作階段。承授者主體 ARN 使用下列格式：

```
arn:{{aws-partition}}:sts::{{account_id}}:assumed-role/aws:ec2-infrastructure/{{instance_id}}
```