Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita la EBS crittografia Amazon per impostazione predefinita
Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi EBS volumi e delle copie istantanee che crei. Ad esempio, Amazon EBS crittografa i EBS volumi creati all'avvio di un'istanza e gli snapshot che copi da uno snapshot non crittografato. Per esempi di transizione da risorse non crittografate a risorse crittografate, consulta. EBS Crittografia delle risorse non crittografate
Per impostazione predefinita, la crittografia non ha alcun effetto sui EBS volumi o sulle istantanee esistenti.
Considerazioni
-
La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.
-
EBSLa crittografia Amazon per impostazione predefinita è supportata su tutti i tipi di istanze della generazione attuale e precedente.
-
Se copi uno snapshot e lo crittografi su una nuova KMS chiave, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.
-
Durante la migrazione dei server utilizzando AWS Server Migration Service (SMS), non attivate la crittografia per impostazione predefinita. Se la crittografia per impostazione predefinita è già attiva e rilevi errori di replica delta, disattivala. Al contrario, abilitate AMI la crittografia quando create il processo di replica.
- Amazon EC2 console
-
Per abilitare la crittografia predefinita per una regione
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.
-
Dalla barra di navigazione, selezionare la regione.
-
Dal pannello di navigazione, seleziona EC2Dashboard.
-
Nell'angolo in alto a destra della pagina, scegli Attributi dell'account, Zone.
-
Nella sezione di EBScrittografia, scegli Gestisci.
-
Selezionare Enable (Abilita). Mantieni Chiave gestita da AWS l'alias aws/ebs creato per tuo conto come chiave di crittografia predefinita oppure scegli una chiave di crittografia simmetrica gestita dal cliente.
-
Scegli Aggiorna crittografia. EBS
- AWS CLI
-
Per visualizzare l'impostazione della crittografia predefinita
-
Per una regione specifica
$ aws ec2 get-ebs-encryption-by-default --region region
-
Per tutte le regioni del tuo account
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
Per abilitare la crittografia predefinita
-
Per una regione specifica
$ aws ec2 enable-ebs-encryption-by-default --region region
-
Per tutte le regioni del tuo account
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
Per disabilitare la crittografia predefinita
-
Per una regione specifica
$ aws ec2 disable-ebs-encryption-by-default --region region
-
Per tutte le regioni del tuo account
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
- PowerShell
-
Per visualizzare l'impostazione della crittografia predefinita
-
Per una regione specifica
PS C:\> Get-EC2EbsEncryptionByDefault -Region region
-
Per tutte le regioni del tuo account
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |`
Format-Table -AutoSize
Per abilitare la crittografia predefinita
-
Per una regione specifica
PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
-
Per tutte le regioni del tuo account
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
Per disabilitare la crittografia predefinita
-
Per una regione specifica
PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
-
Per tutte le regioni del tuo account
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
Non è possibile modificare la KMS chiave associata a un'istantanea o a un volume crittografato esistente. Tuttavia, è possibile associare una KMS chiave diversa durante un'operazione di copia di un'istantanea in modo che l'istantanea copiata risultante venga crittografata dalla nuova chiave. KMS
