Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi EBS Amazon
Gunakan enkripsi Amazon EBS sebagai solusi enkripsi langsung untuk sumber daya Amazon EBS yang terkait dengan instans Amazon EC2 Anda. Dengan enkripsi Amazon EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi Amazon EBS menggunakan AWS KMS keys saat membuat volume dan snapshot yang terenkripsi.
Operasi enkripsi terjadi pada server yang meng-host instans EC2, memastikan keamanan keduanya data-at-rest dan data-in-transit antara instance dan penyimpanan EBS terlampirnya.
Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan. Semua jenis instans Amazon EC2 mendukung enkripsi Amazon EBS.
**Topics**
+ [Cara kerja enkripsi Amazon EBS](how-ebs-encryption-works.md)
+ [Persyaratan untuk enkripsi Amazon EBS](ebs-encryption-requirements.md)
+ [Aktifkan enkripsi Amazon EBS secara default](encryption-by-default.md)
+ [Enkripsi sumber daya EBS](#encryption-parameters)
+ [Putar AWS KMS tombol yang digunakan untuk enkripsi Amazon EBS](kms-key-rotation.md)
+ [Contoh enkripsi Amazon EBS](encryption-examples.md)
## Enkripsi sumber daya EBS
Anda mengenkripsi volume EBS dengan mengaktifkan enkripsi, menggunakan [enkripsi secara default](encryption-by-default.md) atau dengan mengaktifkan enkripsi saat Anda membuat volume yang ingin Anda enkripsi.
Saat Anda mengenkripsi volume, Anda dapat menentukan kunci KMS enkripsi simetris untuk mengenkripsi volume. Jika Anda tidak menentukan kunci KMS, kunci KMS yang digunakan untuk enkripsi tergantung pada kondisi enkripsi snapshot sumber dan kepemilikannya. Untuk informasi selengkapnya, lihat [tabel hasil enkripsi](encryption-examples.md#ebs-volume-encryption-outcomes).
**catatan**
Jika Anda menggunakan API atau AWS CLI untuk menentukan kunci KMS, ketahuilah bahwa AWS mengautentikasi kunci KMS secara asinkron. Jika Anda menentukan ID kunci KMS, suatu alias, atau ARN yang tidak valid, tindakan dapat muncul untuk diselesaikan, tetapi akhirnya akan gagal.
Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot atau volume yang ada. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.
### Enkripsi volume kosong pada saat pembuatan
Saat Anda membuat volume EBS baru yang kosong, Anda dapat mengenkripsinya dengan mengaktifkan enkripsi untuk operasi pembuatan volume tertentu. Jika Anda mengaktifkan enkripsi EBS secara default, volume akan dienkripsi secara otomatis menggunakan kunci KMS default untuk enkripsi EBS. Sebagai alternatif, Anda dapat menentukan kunci KMS enkripsi simetris yang berbeda untuk operasi pembuatan volume spesifik. Volume dienkripsi saat pertama kali tersedia, sehingga data Anda selalu aman. Untuk prosedur terperinci, lihat [Buat volume Amazon EBS](ebs-creating-volume.md).
Secara default, kunci KMS yang Anda pilih saat membuat volume mengenkripsi snapshot yang Anda buat dari volume dan volume yang Anda pulihkan dari snapshot yang dienkripsi tersebut. Anda tidak dapat menghapus enkripsi dari volume atau snapshot terenkripsi, yang berarti bahwa volume yang dipulihkan dari snapshot terenkripsi, atau salinan snapshot terenkripsi, selalu dienkripsi.
Snapshot publik dari volume terenkripsi tidak didukung, tetapi Anda dapat berbagi snapshot terenkripsi dengan akun tertentu. Untuk petunjuk terperinci, lihat [Bagikan snapshot Amazon EBS dengan akun lain AWS](ebs-modifying-snapshot-permissions.md).
### Mengenkripsi sumber daya yang tidak terenkripsi
Anda tidak dapat langsung mengenkripsi volume atau snapshot yang tidak terenkripsi yang ada.
Untuk mengenkripsi volume yang tidak terenkripsi, buat snapshot dari volume itu, lalu gunakan snapshot untuk membuat volume terenkripsi baru. Untuk informasi selengkapnya, lihat [Membuat snapshot](ebs-create-snapshot.md) dan [Membuat volume](ebs-creating-volume.md).
Untuk mengenkripsi snapshot yang tidak terenkripsi, buat salinan terenkripsi dari snapshot itu. Untuk informasi selengkapnya, lihat [Menyalin snapshot](ebs-copy-snapshot.md).
Jika Anda mengaktifkan akun Anda untuk enkripsi secara default, volume dan salinan snapshot yang dibuat dari snapshot yang tidak terenkripsi selalu dienkripsi. Jika tidak, Anda harus menentukan parameter enkripsi dalam permintaan. Untuk informasi selengkapnya, lihat [Aktifkan enkripsi secara default](encryption-by-default.md).