Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Volumi Amazon EBS supportati per la scansione di malware
In tutti i paesi in Regioni AWS cui GuardDuty supporta la EC2 funzionalità Malware Protection for, puoi scansionare i volumi Amazon EBS non crittografati o crittografati. Puoi avere volumi Amazon EBS crittografati con una delle due chiavi Chiave gestita da AWSo con una chiave gestita dal cliente. Attualmente, alcune delle regioni in cui EC2 è disponibile Malware Protection for possono supportare entrambi i modi di crittografare i volumi Amazon EBS, mentre altre supportano solo la chiave gestita dal cliente.
Per ulteriori informazioni, consulta Disponibilità di funzionalità specifiche per ogni regione.
L'elenco seguente descrive la chiave che GuardDuty utilizza indipendentemente dal fatto che i volumi Amazon EBS siano crittografati o meno:
-
Volumi Amazon EBS non crittografati o crittografati con Chiave gestita da AWS: GuardDuty utilizza la propria chiave per crittografare i volumi Amazon EBS di replica.
Se la tua regione non supporta la scansione di volumi Amazon EBS crittografati con la crittografia Amazon EBS per impostazione predefinita, devi modificare la chiave predefinita in modo che diventi una chiave gestita dal cliente. Questo ti aiuterà ad GuardDuty accedere a questi volumi EBS. Modificando la chiave, anche i futuri volumi EBS verranno creati con la chiave aggiornata in modo da GuardDuty supportare le scansioni di malware. Per i passaggi per modificare la chiave predefinita, consulta Modifica l'ID AWS KMS chiave predefinito di un volume Amazon EBS la sezione successiva.
-
Volumi Amazon EBS crittografati con chiave gestita dal cliente: GuardDuty utilizza la stessa chiave per crittografare il volume EBS di replica. Per informazioni su quali politiche relative alla AWS KMS crittografia sono supportate, consulta. Autorizzazioni di ruolo collegate al servizio per Malware Protection for EC2
Modifica l'ID AWS KMS chiave predefinito di un volume Amazon EBS
Quando crei un volume Amazon EBS utilizzando la crittografia Amazon EBS e non specifichi l'ID della AWS KMS chiave, il volume Amazon EBS viene crittografato con una chiave di crittografia predefinita. Quando abiliti la crittografia per impostazione predefinita, Amazon EBS crittograferà automaticamente nuovi volumi e snapshot utilizzando la tua chiave KMS predefinita per la crittografia Amazon EBS.
Puoi modificare la chiave di crittografia predefinita e utilizzare una chiave gestita dal cliente per la crittografia Amazon EBS. Ciò consentirà di GuardDuty accedere a questi volumi Amazon EBS. Per modificare l'ID predefinito della chiave EBS, aggiungi la seguente autorizzazione necessaria alla tua policy IAM: ec2:modifyEbsDefaultKmsKeyId. Qualsiasi volume Amazon EBS appena creato che scegli di crittografare ma che non specifica un ID chiave KMS associato, utilizzerà l'ID chiave predefinito. Utilizza uno dei seguenti metodi per aggiornare l'ID della chiave predefinita EBS:
Per modificare l'ID predefinito della chiave KMS di un volume Amazon EBS
Esegui una di queste operazioni:
-
Utilizzo di un'API: puoi utilizzare l'ModifyEbsDefaultKmsKeyIdAPI. Per informazioni su come visualizzare lo stato di crittografia del volume, consulta Create Amazon EBS volume.
-
Utilizzo del AWS CLI comando: l'esempio seguente modifica l'ID chiave KMS predefinito che crittograferà i volumi Amazon EBS se non fornisci un ID chiave KMS. Assicurati di sostituire la regione con l'ID Regione AWS della tua chiave KM.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEIl comando precedente genererà un output simile al seguente:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Per ulteriori informazioni, vedi modify-ebs-default-kms-key-id
.
