Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
EBSVolumi Amazon supportati per la scansione di malware
In tutti i paesi in Regioni AWS cui GuardDuty supporta la EC2 funzionalità Malware Protection for, puoi scansionare i EBS volumi Amazon non crittografati o crittografati. Puoi avere EBS volumi Amazon crittografati con una delle due chiavi Chiave gestita da AWSo con una chiave gestita dal cliente. Attualmente, alcune delle regioni in cui EC2 è disponibile Malware Protection for possono supportare entrambi i metodi di crittografia dei EBS volumi Amazon, mentre altre supportano solo la chiave gestita dal cliente.
Per ulteriori informazioni, consulta Disponibilità di funzionalità specifiche per ogni regione.
L'elenco seguente descrive la chiave che GuardDuty utilizza indipendentemente dal fatto che i EBS volumi Amazon siano crittografati o meno:
-
EBSVolumi Amazon non crittografati o crittografati con Chiave gestita da AWS: GuardDuty utilizza la propria chiave per crittografare i volumi Amazon EBS di replica.
Se la tua regione non supporta la scansione di EBS volumi Amazon crittografati con la EBScrittografia Amazon per impostazione predefinita, devi modificare la chiave predefinita in modo che diventi una chiave gestita dal cliente. Questo ti aiuterà ad GuardDuty accedere a questi EBS volumi. Modificando la chiave, anche i EBS volumi futuri verranno creati con la chiave aggiornata in modo da GuardDuty supportare le scansioni antimalware. Per i passaggi per modificare la chiave predefinita, consultate la Modifica l'ID AWS KMS chiave predefinito di un EBS volume Amazon sezione successiva.
-
EBSVolumi Amazon crittografati con chiave gestita dal cliente: GuardDuty utilizza la stessa chiave per crittografare il volume di replicaEBS. Per informazioni su quali politiche relative alla AWS KMS crittografia sono supportate, consulta. Autorizzazioni di ruolo collegate al servizio per Malware Protection for EC2
Modifica l'ID AWS KMS chiave predefinito di un EBS volume Amazon
Quando utilizzi la funzione di creazione di un EBS volume Amazon utilizzando la EBS crittografia Amazon e non specifichi l'ID della AWS KMS chiave, il EBS volume Amazon viene crittografato con una chiave di crittografia predefinita. Quando abiliti la crittografia per impostazione predefinita, Amazon EBS crittograferà automaticamente nuovi volumi e istantanee utilizzando la tua KMS chiave predefinita per la crittografia AmazonEBS.
Puoi modificare la chiave di crittografia predefinita e utilizzare una chiave gestita dal cliente per la EBS crittografia Amazon. Ciò consentirà di GuardDuty accedere a questi EBS volumi Amazon. Per modificare l'ID della chiave EBS predefinito, aggiungi la seguente autorizzazione necessaria alla tua IAM politica:ec2:modifyEbsDefaultKmsKeyId. Qualsiasi EBS volume Amazon appena creato che scegli di crittografare ma che non specifica un ID KMS chiave associato, utilizzerà l'ID chiave predefinito. Utilizza uno dei seguenti metodi per aggiornare l'ID della chiave EBS predefinita:
Per modificare l'ID KMS chiave predefinito di un EBS volume Amazon
Esegui una di queste operazioni:
-
Utilizzando un API: è possibile utilizzare il ModifyEbsDefaultKmsKeyIdAPI. Per informazioni su come visualizzare lo stato di crittografia del volume, consulta Create Amazon EBS volume.
-
Utilizzo del AWS CLI comando: l'esempio seguente modifica l'ID KMS chiave predefinito che crittograferà EBS i volumi Amazon se non fornisci un ID KMS chiave. Assicurati di sostituire la regione con l'ID Regione AWS della tua chiave KM.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEIl comando precedente genererà un output simile al seguente:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Per ulteriori informazioni, vedi modify-ebs-default-kms-key-id
.
