Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
EBSVolúmenes de Amazon compatibles para el escaneo de malware
En todos los Regiones de AWS lugares GuardDuty compatibles con la EC2 función Malware Protection for, puede escanear los EBS volúmenes de Amazon cifrados o sin cifrar. Puede tener EBS volúmenes de Amazon cifrados con una clave gestionada por el cliente Clave administrada de AWSo con una clave. En la actualidad, algunas de las regiones en las que EC2 está disponible Malware Protection admiten ambas formas de cifrar los EBS volúmenes de Amazon, mientras que otras solo admiten claves gestionadas por el cliente.
Para obtener más información, consulte Disponibilidad de características específicas por región.
La siguiente lista describe la clave que se GuardDuty utiliza independientemente de que tus EBS volúmenes de Amazon estén cifrados o no:
-
EBSVolúmenes de Amazon cifrados o cifrados con Clave administrada de AWS: GuardDuty utilizan su propia clave para cifrar las réplicas de volúmenes de AmazonEBS.
Si tu región no admite la digitalización de EBS volúmenes de Amazon cifrados con el EBScifrado de Amazon de forma predeterminada, tendrás que modificar la clave predeterminada para que sea una clave gestionada por el cliente. Esto te ayudará a GuardDuty acceder a estos EBS volúmenes. Al modificar la clave, incluso los futuros EBS volúmenes se crearán con la clave actualizada para que GuardDuty puedan soportar los escaneos de malware. Para ver los pasos para modificar la clave predeterminada, consulte Modificar el identificador AWS KMS clave predeterminado de un EBS volumen de Amazon la siguiente sección.
-
EBSVolúmenes de Amazon cifrados con una clave gestionada por el cliente: GuardDuty utiliza la misma clave para cifrar el EBS volumen de réplica. Para obtener información sobre las políticas relacionadas con el AWS KMS cifrado que se admiten, consultePermisos de rol vinculados al servicio para Malware Protection para EC2.
Modificar el identificador AWS KMS clave predeterminado de un EBS volumen de Amazon
Si utilizas la opción Crear un EBS volumen de Amazon mediante el EBScifrado de Amazon y no especificas un ID de AWS KMS clave, tu EBS volumen de Amazon se cifra con una clave de cifrado predeterminada. Si habilitas el cifrado de forma predeterminada, Amazon EBS cifrará automáticamente los nuevos volúmenes e instantáneas mediante tu KMS clave predeterminada para el cifrado de AmazonEBS.
Puedes modificar la clave de cifrado predeterminada y utilizar una clave gestionada por el cliente para el EBS cifrado de Amazon. Esto ayudará a GuardDuty acceder a estos EBS volúmenes de Amazon. Para modificar la clave de identificación EBS predeterminada, añada el siguiente permiso necesario a su IAM política:ec2:modifyEbsDefaultKmsKeyId. Cualquier EBS volumen de Amazon recién creado que elijas cifrar pero que no especifiques un identificador de KMS clave asociado utilizará el identificador de clave predeterminado. Usa uno de los siguientes métodos para actualizar la ID de clave EBS predeterminada:
Para modificar el identificador de KMS clave predeterminado de un EBS volumen de Amazon
Realice una de las siguientes acciones siguientes:
-
Uso de API: puede utilizar el ModifyEbsDefaultKmsKeyIdAPI. Para obtener información sobre cómo ver el estado de cifrado de su volumen, consulte Crear EBS volumen de Amazon.
-
Uso del AWS CLI comando: el siguiente ejemplo modifica la ID de KMS clave predeterminada que cifrará los EBS volúmenes de Amazon si no proporciona una ID de KMS clave. Asegúrese de sustituir la región por la Región de AWS de su ID de clave KM.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEEl comando anterior generará un resultado similar al siguiente:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Para obtener más información, consulta modify-ebs-default-kms-key-id
.
