Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Volúmenes de Amazon EBS compatibles con el análisis de malware
En todos los Regiones de AWS lugares GuardDuty compatibles con la EC2 función Malware Protection for, puede escanear los volúmenes de Amazon EBS cifrados o sin cifrar. Puede tener volúmenes de Amazon EBS cifrados con una Clave administrada de AWS o una clave administrada por el cliente. En la actualidad, algunas de las regiones en las que EC2 está disponible Malware Protection pueden admitir ambas formas de cifrar los volúmenes de Amazon EBS, mientras que otras solo admiten claves administradas por el cliente.
Para obtener más información, consulte Disponibilidad de características específicas por región.
La siguiente lista describe la clave que se GuardDuty utiliza independientemente de que los volúmenes de Amazon EBS estén cifrados o no:
-
Los volúmenes de Amazon EBS que no están cifrados o cifrados con Clave administrada de AWS: GuardDuty utilizan su propia clave para cifrar las réplicas de los volúmenes de Amazon EBS.
Si la región no admite el análisis de volúmenes de Amazon EBS cifrados con el cifrado de Amazon EBS de forma predeterminada, deberá modificar la clave predeterminada de modo que sea una clave administrada por el cliente. Esto ayudará a GuardDuty acceder a estos volúmenes de EBS. Al modificar la clave, incluso los futuros volúmenes de EBS se crearán con la clave actualizada para que GuardDuty puedan soportar los escaneos de malware. Para conocer los pasos a seguir para modificar la clave predeterminada, consulte Modificar el identificador de AWS KMS clave predeterminado de un volumen de Amazon EBS en la siguiente sección.
-
Volúmenes de Amazon EBS cifrados con una clave administrada por el cliente: GuardDuty utilizan la misma clave para cifrar el volumen de EBS de réplica. Para obtener información sobre las políticas relacionadas con el AWS KMS cifrado compatibles, consulte. Permisos de rol vinculado al servicio para la protección contra malware para EC2
Modificar el identificador de AWS KMS clave predeterminado de un volumen de Amazon EBS
Si utiliza la opción Crear un volumen de Amazon EBS mediante el cifrado de Amazon EBS y no especifica el ID de AWS KMS clave, el volumen de Amazon EBS se cifra con una clave de cifrado predeterminada. Al habilitar el cifrado de forma predeterminada, Amazon EBS cifrará automáticamente los nuevos volúmenes e instantáneas por medio de la clave de KMS predeterminada para el cifrado de Amazon EBS.
Puede modificar la clave de cifrado predeterminada y utilizar una clave administrada por el cliente para el cifrado de Amazon EBS. Esto ayudará a GuardDuty acceder a estos volúmenes de Amazon EBS. Para modificar la ID de clave predeterminada de EBS, agregue el siguiente permiso necesario a su política de IAM: ec2:modifyEbsDefaultKmsKeyId. Cualquier volumen de Amazon EBS recién creado que elija cifrar, pero no especifique un ID de clave de KMS asociada, utilizará el ID de clave predeterminada. Utilice uno de los siguientes métodos para actualizar el ID de clave predeterminada de EBS:
Modificación de la ID de clave de KMS predeterminada de un volumen de Amazon EBS
Realice una de las siguientes acciones:
-
Uso de una API: puede utilizar la ModifyEbsDefaultKmsKeyIdAPI. Para obtener información sobre cómo puede ver el estado de cifrado del volumen, consulte Crear volumen de Amazon EBS.
-
Uso del AWS CLI comando: el siguiente ejemplo modifica el ID de clave de KMS predeterminado que cifrará los volúmenes de Amazon EBS si no proporciona un ID de clave de KMS. Asegúrese de sustituir la región por la Región de AWS de su ID de clave KM.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEEl comando anterior generará un resultado similar al siguiente:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Para obtener más información, consulta modify-ebs-default-kms-key-id
.
