Habilita el EBS cifrado de Amazon de forma predeterminada - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilita el EBS cifrado de Amazon de forma predeterminada

Puede configurar su AWS cuenta para aplicar el cifrado de los nuevos EBS volúmenes y copias instantáneas que cree. Por ejemplo, Amazon EBS cifra los EBS volúmenes que se crean al lanzar una instancia y las instantáneas que se copian de una instantánea no cifrada. Para ver ejemplos de la transición de recursos no cifrados a recursos cifrados, consulte. EBS Cifrar recursos no cifrados

De forma predeterminada, el cifrado no afecta a los EBS volúmenes ni a las instantáneas existentes.

Consideraciones

  • El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región.

  • EBSEl cifrado de Amazon se admite de forma predeterminada en todos los tipos de instancias de la generación actual y de la generación anterior.

  • Si copia una instantánea y la cifra con una KMS clave nueva, se crea una copia completa (no incremental). Esto da como resultado costos de almacenamiento adicionales.

  • Al migrar servidores mediante AWS Server Migration Service (SMS), no active el cifrado de forma predeterminada. Si el cifrado de manera predeterminada ya está activado y está experimentando errores de replicación delta, desactive el cifrado predeterminado. En su lugar, habilite el AMI cifrado al crear el trabajo de replicación.

Amazon EC2 console
Para habilitar el cifrado de manera predeterminada en una región

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione la región.

  3. En el panel de navegación, selecciona EC2Panel de control.

  4. En la esquina superior derecha de la página, elija Account attributes (Atributos de cuenta), Data protection and security (Protección de datos y seguridad).

  5. En la sección EBSde cifrado, selecciona Administrar.

  6. Seleccione Habilitar. La conservas Clave administrada de AWS con el alias aws/ebs creado en tu nombre como clave de cifrado predeterminada o eliges una clave de cifrado simétrica gestionada por el cliente.

  7. Selecciona Actualizar el EBS cifrado.

AWS CLI
Para ver la configuración predeterminada de cifrado

  • Para una región específica

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
    default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
Para habilitar el cifrado de manera predeterminada

  • Para una región específica

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
Para deshabilitar el cifrado de manera predeterminada

  • Para una región específica

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Para todas las regiones de su cuenta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
PowerShell
Para ver la configuración predeterminada de cifrado

  • Para una región específica

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object {
    [PSCustomObject]@{ 
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } |`
    Format-Table -AutoSize
Para habilitar el cifrado de manera predeterminada

  • Para una región específica

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize
Para deshabilitar el cifrado de manera predeterminada

  • Para una región específica

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Para todas las regiones de su cuenta

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize

No puede cambiar la KMS clave asociada a una instantánea o un volumen cifrado existente. Sin embargo, puede asociar una KMS clave diferente durante una operación de copia de una instantánea para que la instantánea copiada resultante se cifre con la nueva KMS clave.