为啥即使禁用了 KMS 密钥，我仍然能够在 EC2 中读取加密的 EBS 卷数据？

Posted 2023-02-19

【中文标题】为啥即使禁用了 KMS 密钥，我仍然能够在 EC2 中读取加密的 EBS 卷数据？

【英文标题】：Why am I still able to read encrypted EBS volume data in EC2 even after disabling the KMS key?为什么即使禁用了 KMS 密钥，我仍然能够在 EC2 中读取加密的 EBS 卷数据？

【发布时间】：2021-07-15 19:08:51

【问题描述】：

我正在尝试验证 AWS 中 EBS 卷的数据加密。我已使用 KMS 密钥加密了一个 EBS 卷并将其安装在 EC2 实例上。我在这个卷中有一些文件，我希望如果我禁用 KMS 密钥，我将无法读取 EBS 卷中的文件，但这并没有发生。我猜可能是在将 EBS 卷附加到 EC2 实例时，我们需要密钥。之后，即使我们禁用密钥，我们仍然可以读取数据。我的理解正确吗？

【问题讨论】：

当您将卷附加到 EC2 实例时，EBS 会调用 AWS KMS 来解密数据密钥。 EBS 还将加密的数据密钥与卷一起存储。如果您分离卷然后尝试重新附加它会发生什么？

如果 KMS 密钥被禁用，它将不会附加。

很好，这就是我对其设计工作方式的理解。感谢您的确认。

【参考方案1】：

来自docs：

对于每个卷，Amazon EBS 会要求 AWS KMS 生成一个使用您指定的 CMK 加密的唯一数据密钥。 Amazon EBS 将加密的数据密钥与卷一起存储。然后，当您将卷附加到 Amazon EC2 实例时，Amazon EBS 会调用 AWS KMS 来解密数据密钥。 Amazon EBS 使用管理程序内存中的明文数据密钥来加密卷的所有磁盘 I/O。

实例实际上只在启动时调用一次 KMS 并附加卷以解密数据密钥。之后它将其保存在内存中，因为每次调用 KMS 都需要很长时间。因此，只要实例正在运行，您对密钥的操作就无关紧要了。

我的假设是，当您停止并启动实例或将卷附加到另一个实例时，某些事情会失败，因为它会尝试从 KMS 获取密钥。

有关更多详细信息，我建议您查看complete documentation on EBS encryption。