Almacenamiento

Cifrado de Amazon EBS y compartición de snapshots - Diseño entre cuentas y entre regiones

Presentamos de forma integral desde la habilitación del cifrado por defecto hasta la compartición de snapshots entre cuentas y el diseño de DR mediante copia entre regiones.

約 4 分で読めます

Cifrado por defecto de EBS

Al habilitar el cifrado por defecto de EBS en la configuración regional de la cuenta, todos los nuevos volúmenes EBS y snapshots creados en esa región se cifran automáticamente. No afecta a los volúmenes no cifrados existentes. La clave de cifrado puede ser una clave administrada por AWS (aws/ebs) o una clave administrada por el cliente (CMK). Al usar CMK, se puede controlar el acceso con políticas de clave y habilitar la rotación automática de claves. El impacto en el rendimiento del cifrado es insignificante, y en instancias basadas en Nitro, la sobrecarga del cifrado es prácticamente cero gracias a la aceleración por hardware.

Compartición de snapshots entre cuentas

Los snapshots de EBS se pueden compartir con otras cuentas AWS. Los snapshots no cifrados se pueden compartir simplemente especificando el ID de cuenta, pero compartir snapshots cifrados requiere configuración adicional. En la política de clave de la clave KMS utilizada para el cifrado, se otorgan permisos kms:DescribeKey, kms:CreateGrant y kms:Decrypt a la cuenta destino. Los snapshots cifrados con la clave administrada por AWS (aws/ebs) no se pueden compartir, por lo que si se planea compartir entre cuentas, se debe cifrar con CMK. Se recomienda que la cuenta destino re-cifre con su propia clave KMS al crear un volumen desde el snapshot.

Copia entre regiones y DR

La copia de snapshots entre regiones es un método básico de DR. Al habilitar la copia entre regiones en la política DLM, la copia a la región de DR se ejecuta automáticamente junto con la creación del snapshot diario. El número de generaciones retenidas en la región destino también se puede configurar individualmente, permitiendo optimización de costos como retener solo las últimas 3 generaciones en la región de DR. EBS Snapshots Archive es una función que migra snapshots retenidos por más de 90 días a una capa de archivo de bajo costo, con una reducción de costos de hasta 75% comparado con el almacenamiento estándar. La restauración desde archivo puede tomar hasta 72 horas, por lo que los snapshots que requieren recuperación inmediata se mantienen en la capa estándar. Si desea ampliar sus conocimientos en diseño de almacenamiento, también puede consultar libros especializados en Amazon.

Precios de snapshots EBS

Los snapshots de EBS son backups incrementales que solo almacenan los bloques modificados. El precio de almacenamiento es aproximadamente 0.05 dólares mensuales por GB. La copia entre regiones genera, además del precio de almacenamiento en la región destino, un cargo de transferencia de datos entre regiones (aproximadamente 0.02 dólares por GB). Se gestionan los costos de almacenamiento automatizando la creación y eliminación de snapshots con DLM (Data Lifecycle Manager) y configurando períodos de retención apropiados. EBS Snapshots Archive cuesta aproximadamente 0.0125 dólares mensuales por GB, reduciendo en 75% el costo de snapshots retenidos por más de 90 días.

Resumen

El cifrado y la gestión de snapshots de EBS son la base de la protección de datos y DR. Se fuerza el cifrado de todos los volúmenes con cifrado por defecto y se controla el acceso con claves KMS. Se construye una estrategia de backup multi-cuenta y multirregión con compartición de snapshots entre cuentas y copia entre regiones, y se reduce el costo de almacenamiento a largo plazo hasta un 75% con EBS Snapshot Archive.

Servicios relacionados

Amazon EBSUn servicio de almacenamiento en bloques que se conecta a instancias EC2AWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nube

Artículos relacionados

Diseño y operación de volúmenes Amazon EBS - Criterios de selección gp3/io2 y estrategia de snapshotsClarificamos los criterios de selección de tipos de volumen gp3 e io2, y presentamos de forma práctica las directrices de diseño de IOPS y throughput, así como la estrategia de backup mediante snapshots.Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Cómo elegir instancias Amazon EC2 - Optimización de familias de instancias y opciones de compraOrganizamos las características de las familias de instancias y la ventaja de rendimiento de los procesadores Graviton, y presentamos directrices para diferenciar las opciones de compra On-Demand, Reserved y Spot.

Más sobre este tema

Protección de VMs VMware on-premises con AWS Backup Gateway - Estrategia de backup híbridoDespliegue un gateway en su entorno vSphere y gestione centralizadamente los backups de VMs VMware on-premises con planes de backup de AWS Backup. También cubre la copia cross-region para recuperación ante desastres.Diseño y operación de volúmenes Amazon EBS - Criterios de selección gp3/io2 y estrategia de snapshotsClarificamos los criterios de selección de tipos de volumen gp3 e io2, y presentamos de forma práctica las directrices de diseño de IOPS y throughput, así como la estrategia de backup mediante snapshots.Cómo los snapshots incrementales de EBS permiten restauración completa - El mecanismo interno de gestión de diferencias a nivel de bloqueExplicamos el mecanismo por el cual los snapshots de EBS, siendo backups incrementales, pueden restaurar un volumen completo desde cualquier snapshot, desde la gestión de diferencias a nivel de bloque, la estructura de almacenamiento en S3 y el funcionamiento interno de la restauración rápida de snapshots.Almacenamiento de archivos compartido con Amazon EFS - Montaje desde Lambda, ECS y EC2 con directrices de diseñoClarificamos los criterios de selección de modos de rendimiento y throughput, y presentamos técnicas para optimizar costos mediante la migración automática a la capa IA con gestión de ciclo de vida.Sistemas de archivos gestionados con Amazon FSx - Diferenciación entre Lustre, Windows, ONTAP y OpenZFSOrganizamos las características y diferenciación de los 4 tipos Lustre, Windows, ONTAP y OpenZFS, y presentamos directrices para la integración con S3 y el diseño de rendimiento.Estrategia de archivado con Amazon S3 Glacier - Selección de clases de almacenamiento y opciones de recuperaciónAclaramos los criterios de selección entre Instant Retrieval, Flexible Retrieval y Deep Archive. Esta guía cubre la clasificación automática con políticas de ciclo de vida y el soporte de cumplimiento con Vault Lock.Almacenamiento híbrido - Integración de on-premises y la nube con AWS Storage GatewayAprende sobre la integración de almacenamiento on-premises y en la nube con AWS Storage Gateway. Cubre los cuatro tipos de gateway - S3 File Gateway, FSx File Gateway, Volume Gateway y Tape Gateway - con casos de uso y patrones de despliegue.Optimización de costos de almacenamiento con S3 Intelligent-Tiering - Clasificación automática por niveles según patrones de accesoPresentamos el mecanismo que migra automáticamente los niveles de almacenamiento según los patrones de acceso, la diferenciación con las políticas de ciclo de vida y el aprovechamiento de los niveles de archivo.

Artículos y servicios similares

Cómo los snapshots incrementales de EBS permiten restauración completa - El mecanismo interno de gestión de diferencias a nivel de bloqueExplicamos el mecanismo por el cual los snapshots de EBS, siendo backups incrementales, pueden restaurar un volumen completo desde cualquier snapshot, desde la gestión de diferencias a nivel de bloque, la estructura de almacenamiento en S3 y el funcionamiento interno de la restauración rápida de snapshots.Amazon EBSServicio de almacenamiento en bloques que se conecta a instancias EC2, con múltiples tipos de volumen SSD y HDD seleccionables según el caso de usoAWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWSDónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.