Comment puis-je déchiffrer un volume Amazon EBS chiffré sous Linux ?

Lecture de 3 minute(s)
0

Je souhaite déchiffrer un volume Amazon Elastic Block Store (Amazon EBS) sous Linux que j'ai chiffré avec une clé AWS Key Management Service (AWS KMS) par défaut ou une clé KMS personnalisée.

Résolution

Remarque : La résolution suivante utilise un volume racine à titre d'exemple. Vous pouvez également effectuer les étapes suivantes sur un volume secondaire.

Pour déchiffrer votre volume Amazon EBS, procédez comme suit :

  1. Créez un instantané du volume racine chiffré ou créez une Amazon Machine Image (AMI) de l'instance contenant le volume chiffré.
    Remarque : Il est recommandé d'utiliser des instantanés et des AMI pour sauvegarder vos ressources avant d'effectuer des tâches majeures.
  2. Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).
  3. Arrêtez l'instance contenant le volume racine chiffré.
  4. Dans l'onglet Stockage, notez le nom de votre périphérique racine, puis choisissez l'ID de volume.
    Remarque : Le périphérique racine varie selon l'AMI. Par exemple, Amazon Linux 1 et 2 utilisent /dev/xvda. D'autres distributions, telles qu'Ubuntu 14, 16, 18, CentOS7 et RHEL 7.5, utilisent /dev/sda1.
  5. Sélectionnez Actions, puis Détacher le volume.
  6. Sélectionnez Oui, détacher, puis notez la zone de disponibilité.
  7. Lancez une instance de secours dans la même zone de disponibilité que l'instance d'origine.
    Remarque : Utilisez un système d'exploitation (OS) similaire à celui que vous avez utilisé pour lancer l'instance d'origine.
  8. Dans le volet de navigation, choisissez Volumes, puis sélectionnez le volume racine chiffré.
  9. Sélectionnez Actions, puis Attacher un volume.
  10. Dans Instance, choisissez l'ID de l'instance de secours.
  11. Dans Nom du périphérique, sélectionnez /dev/xvdf ou /dev/sdf.
  12. Créez un nouveau volume non chiffré dans la même zone de disponibilité que le volume chiffré d'origine.
    Important : Pour éviter toute perte de données, vérifiez que la taille de votre nouveau volume est supérieure à celle du volume chiffré.
  13. Attachez le nouveau volume non chiffré à l'instance de secours sous la forme /dev/xvdg ou /dev/sdg.
  14. Connectez-vous à l'instance de secours, puis exécutez la commande lsblk pour confirmer que le périphérique racine et les volumes associés existent :
lsblk

Exemple de sortie

NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk
└─xvdf1 202:81   0   8G  0 part
xvdg    202:96   0   8G  0 disk
  1. Pour déplacer les données du volume chiffré d'origine vers le nouveau volume non chiffré, exécutez les commandes dd en tant qu'utilisateur sudo ou racine :
dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Remarque : Dans la commande précédente, le fichier d'entrée est /dev/xvdf et le fichier de sortie est /dev/xvdg. Le temps de transfert des données varie en fonction de la taille et du type du volume et de l'instance. Détachez le nouveau volume /dev/xvdg non chiffré de l'instance de secours, puis attachez-le à l'instance d'origine en tant que /dev/xvda ou /dev/sda1. Connectez-vous à l'instance d'origine pour vérifier que l'instance lit le nouveau volume racine non chiffré. Sur la console Amazon EC2, sélectionnez l'instance d'origine, puis consultez les propriétés du volume pour confirmer que le volume racine est maintenant non chiffré.
Remarque : Vous devrez peut-être redémarrer ou arrêter et démarrer l'instance pour enregistrer les modifications de partition apportées au noyau. Répétez le processus pour les autres volumes chiffrés de l'instance d'origine afin de créer des volumes clonés non chiffrés. Résiliez l'instance de secours.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 mois