Activar el cifrado de Amazon EBS de manera predeterminada - Amazon EBS

Activar el cifrado de Amazon EBS de manera predeterminada

Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y copias de instantáneas que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte Cifrar recursos no cifrados.

El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes.

Consideraciones

  • El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.

  • El cifrado de Amazon EBS es admitido por defecto en todos los tipos de instancias de la generación actual y la generación anterior.

  • Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales.

  • Al migrar servidores utilizando AWS Server Migration Service (SMS), no active el cifrado de manera predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En cambio, habilite el cifrado AMI al crear el trabajo de replicación.

Amazon EC2 console
Para habilitar el cifrado de manera predeterminada en una región

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región.

  3. En el panel de navegación, seleccione EC2 Dashboard (Panel de EC2).

  4. En la esquina superior derecha de la página, elija Account attributes (Atributos de cuenta), Data protection and security (Protección de datos y seguridad).

  5. En la sección Cifrado de EBS, elija Gestionar.

  6. Seleccione Habilitar. Puede conservar la Clave administrada de AWS con el alias aws/ebs creada en su nombre como clave de cifrado predeterminada, o bien elegir una clave de cifrado administrada por el cliente simétrica.

  7. Elija Update EBS encryption (Actualizar el cifrado de EBS).

AWS CLI
Para ver la configuración predeterminada de cifrado

  • Para una región específica

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Para habilitar el cifrado de manera predeterminada

  • Para una región específica

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Para deshabilitar el cifrado de manera predeterminada

  • Para una región específica

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
PowerShell
Para ver la configuración predeterminada de cifrado

  • Para una región específica

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Para habilitar el cifrado de manera predeterminada

  • Para una región específica

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Para deshabilitar el cifrado de manera predeterminada

  • Para una región específica

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

No puede cambiar la Clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.