Cours Aws

5.58 Le chiffrement de volume EBS

Lorsqu'un volume EBS est chiffré, AWS protège automatiquement les données stockées : les données statiques sur le volume sont chiffrées, toutes les données échangées entre l'instance et le volume le sont aussi (chiffrement à la volée), les snapshots dérivés du volume sont chiffrés, et tout nouveau volume créé depuis un snapshot chiffré l'est aussi par héritage.

Le chiffrement et le déchiffrement sont transparents : il n'y a rien à faire côté OS ou applicatif. Côté performance, l'impact sur la latence est minime — c'est gratuit à activer du point de vue UX. Le chiffrement s'appuie sur AWS KMS (Key Management Service) avec une clé AES-256. Tout est géré par AWS, on peut utiliser la clé KMS par défaut ou une clé gérée par l'utilisateur.

Chiffrer un volume existant non chiffré

  • Créer un snapshot du volume non chiffré.
  • Faire une copie du snapshot en cochant l'option de chiffrement (avec la clé KMS souhaitée).
  • Créer un nouveau volume à partir du snapshot chiffré.
  • Attacher le nouveau volume chiffré à l'instance (dans la même AZ).
  • Optionnellement détacher et supprimer l'ancien volume non chiffré.

Dans la console EC2, on regarde nos volumes : les deux volumes attachés à l'instance et un volume libre copié auparavant — tous trois non chiffrés. Pour chiffrer ce dernier, on passe par ses snapshots. Sur un snapshot non chiffré, l'action Copy permet de rester dans la même région tout en activant la case Encrypt this snapshot, en choisissant la clé KMS par défaut aws/ebs ou une CMK personnalisée.

Une fois la copie terminée, on a un nouveau snapshot chiffré. On lance Create Volume from Snapshot : type gp2, taille 2 Go, on règle la zone de disponibilité (ici on choisit la même AZ que l'instance cible — sinon l'attache ne sera pas possible). Le volume créé hérite du chiffrement du snapshot source. On peut ensuite l'attacher à l'instance, à condition d'être dans la même AZ. Cette procédure permet, à partir d'un volume EBS non chiffré, d'obtenir un volume équivalent chiffré at-rest, sans réinstaller ni reformater quoi que ce soit côté application.