Activer le EBS chiffrement Amazon par défaut - Amazon EBS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer le EBS chiffrement Amazon par défaut

Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux EBS volumes et des copies instantanées que vous créez. Par exemple, Amazon EBS chiffre les EBS volumes créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d'un instantané non chiffré. Pour des exemples de transition de ressources non chiffrées à des EBS ressources chiffrées, consultez. Chiffrer les ressources non chiffrées

Le chiffrement par défaut n'a aucun effet sur les EBS volumes ou les instantanés existants.

Considérations

  • Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l’activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région.

  • EBSLe chiffrement Amazon est pris en charge par défaut sur tous les types d'instances de génération actuelle et précédente.

  • Si vous copiez un instantané et que vous le chiffrez sur une nouvelle KMS clé, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires.

  • Lorsque vous migrez des serveurs à l'aide de AWS Server Migration Service (SMS), n'activez pas le chiffrement par défaut. Si le chiffrement par défaut est déjà activé et que vous rencontrez des échecs de réplication delta, désactivez cette fonction. Activez plutôt AMI le chiffrement lorsque vous créez la tâche de réplication.

Amazon EC2 console
Pour activer le chiffrement par défaut pour une région

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région.

  3. Dans le volet de navigation, sélectionnez EC2Tableau de bord.

  4. En haut à droite de la page, choisissez Attributs du compte, Protection des données et sécurité.

  5. Dans la section EBSde chiffrement, choisissez Gérer.

  6. Sélectionnez Activer. Vous conservez l' Clé gérée par AWS alias aws/ebs créé en votre nom comme clé de chiffrement par défaut, ou vous choisissez une clé de chiffrement symétrique gérée par le client.

  7. Choisissez Mettre à jour EBS le chiffrement.

AWS CLI
Pour afficher le paramètre de chiffrement par défaut

  • Pour une région spécifique

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Pour toutes les régions de votre compte

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
    default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
Pour activer le chiffrement par défaut

  • Pour une région spécifique

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Pour toutes les régions de votre compte

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
Pour désactiver le chiffrement par défaut

  • Pour une région spécifique

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Pour toutes les régions de votre compte

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo "$region  --- $default  --- $kms_key"; 
done
PowerShell
Pour afficher le paramètre de chiffrement par défaut

  • Pour une région spécifique

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Pour toutes les régions de votre compte

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object {
    [PSCustomObject]@{ 
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } |`
    Format-Table -AutoSize
Pour activer le chiffrement par défaut

  • Pour une région spécifique

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Pour toutes les régions de votre compte

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize
Pour désactiver le chiffrement par défaut

  • Pour une région spécifique

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Pour toutes les régions de votre compte

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize

Vous ne pouvez pas modifier la KMS clé associée à un instantané ou à un volume chiffré existant. Toutefois, vous pouvez associer une KMS clé différente lors d'une opération de copie instantanée afin que l'instantané copié obtenu soit chiffré par la nouvelle KMS clé.