Come creare un volume criptato su Amazon EBS (elastic block storage)
da Massimo Della Rovere · pubblicato il 2 novembre, 2017 · modificato il 2 novembre, 2017

Molte volte mi trovo nella condizione di lavorare in ambienti cloud AWS dove non sono state attivate le funzione di encrypt messe a disposizione dalla stessa Amazon in molti dei suoi servizi. In questo articolo vedremo una della situazione più comune, come criptare in modo permanente un volume EBS connesso ad una istanza EC2.

Criptare un Volume EBS

Vi riporto qui di seguito tutti i passi necessari all’operazione indicata. Mi raccomando seguite con attenzione tutti i passaggi e nel dubbio eseguite un backup completo prima di iniziare questa operazione. Non cancellate le vecchie risorse fino alla verifica del funzionamento.

(1) Arresto istanza EC2: dalla console EC2 o da riga di comando eseguite il comando di stop per l’istanza interessata. Mi raccomando non usate il comando (terminate), l’istanza deve essere fermata ma tutte le risorse ad essa associata devono rimanere disponibili.

(2) Scollegare il Volume: prendere nota nel mount point attuale che trovate nella pagina delle informazioni che riguardano la istanza selezionata, nel mio caso con ubuntu 16.04 LTS e una virtualizzazione HVM mi viene indicato un mount point su /dev/sda1. Dopo aver preso nota di questa informazione andate sulla schermata dei volumi ed eseguite la funzione di detach.

(3) Creazione snapshot: selezioniamo il volume interessato ed eseguiamo la creazione di uno snapshot con l’opzione di menu specifica. Lo snapshot che verrà creato non sarà ancora criptato e potremmo chiamarlo “ORIGINE IN CHIARO”.

(4) Copia snapshot con Encrypt: una volta che ha finito la creazione dello snapshot precedente possiamo eseguire su di esso una operazione di copia snapshot e in questa fase possiamo specificare al comando interessato di eseguire una criptatura dei dati. Come per lo snapshot origine decidiamo un nome facile da identificare come “RISULTATO ENCRYPT”.

(5) Creazione Volume: a questo punto abbiamo uno snapshot criptato con cui possiamo creare un nuovo volume uguale all’originale ma criptato. Quindi eseguite la creazione di un volume con il menu specifico che trovate sulle opzioni dello snapshot “RISULTATO ENCRYPT”.

(6) Collegare il Volume: in questo momento la vostra istanza EC2 non ha nessun volume EBS attaccato, in quanto lo abbiamo disconnesso al punto (2). Quindi eseguiamo il comando attach del nuovo volume rispettando il mount point che avete appuntato precedentemente.

(7) Avvio istanza EC2: se avete eseguito tutti i passi correttamente potete avviare nuovamente la vostra istanza, una volta avviata controllate bene il suo funzionamento generale. Quando siete sicuri che funziona tutto correttamente create anche una nuova AMI in modo che i nuovi avvi mantengano la configurazione e le caratteristiche appena configurate.

(8) Pulizia delle risorse: una volta creata una nuova AMI potete cancellare tutte le risorse che non si necessitano più, come ad esempio la copia degli snapshot e il vecchio volume EBS.

Screenshot per copia snapshot

Usare i comandi AWS CLI

Se preferite usare la linea comandi al posto della management console vi lascio qui di seguito i comandi che dovranno essere eseguiti, ovviamente dovete implementarli con gli identificativi delle vostre istanze, volumi, snapshot, etc, etc.

aws ec2 stop-instances --instance-ids <instance>
aws ec2 detach-volume --volume-id <volume>
aws ec2 create-snapshot --volume-id <id> --description "ORIGINE IN CHIARO"
aws ec2 copy-snapshot -source-snapshot-id <vedi documentazione per chiave>
aws ec2 create-volume --snapshot-id <value>
aws ec2 attach-volume --volume-id <id> --instance-id <id> --device /dev/sda1
aws ec2 start-instances --instance-ids <instance>

Guida completa su AWS

Questo articolo appartiene ad una serie di pubblicazioni che costituiscono una guida completa dedicata agli Amazon Web Services. Molti servizi che trattiamo in questo blog vengono anche spiegati con dei video che trovate nel nostro canale youtube. Se volete seguire questo percorso didattico iscrivetevi alla community Cloud AWS.

2 Commenti

  1. Ho notato che quando esegui la copia della snapshot usi una chiave di default chiamata aws/ebs, queste chiavi sono già presenti nel servizio o bisogna crearle separatamente? è possibile scaricarle ed usarle anche per altre risorse interne alla azienda in modo da avere usare la stessa chiave? Le performance generali dell'accesso ai dischi dimuniscono?

  2. Ciao Augusto, le chiavi vengono create da amazon e sono uniche a livello di account, servizio e regione selezionata. Tramite IAM hai a disposizione un menu che si chiama "Encryption keys" dopo potrai visualizzare tutte le chiavi disponibili e dove puoi anche crearne alcune con una operazione di importazione. Non è possibile esportare le chiavi di default create da Amazon per il tuo account AWS.

condividi