As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitar a criptografia do Amazon EBS por padrão
Você pode configurar sua AWS conta para aplicar a criptografia dos novos volumes do EBS e das cópias de snapshot que você criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte Criptografar recursos não criptografados.
Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes.
Considerações
-
A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.
-
A criptografia do Amazon EBS é compatível, por padrão, com todos os tipos de instância da geração atual e da geração anterior.
-
Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.
-
Ao migrar servidores usando AWS Server Migration Service (SMS), não ative a criptografia por padrão. Se a criptografia por padrão já estiver ativada, e você estiver enfrentando falhas de replicação delta, desative a criptografia por padrão. Em vez disso, habilite a criptografia de AMI ao criar o trabalho de replicação.
- Amazon EC2 console
-
Para ativar a criptografia por padrão para uma região
Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.
-
Na barra de navegação, selecione a região.
-
No painel de navegação, selecione EC2 Painel.
-
No canto superior direito da página, escolha Atributos da conta, Proteção de dados e segurança.
-
Na seção Criptografia do EBS, escolha Gerenciar.
-
Selecione Enable (Habilitar). Você mantém o Chave gerenciada pela AWS com o alias aws/ebs criado em seu nome como a chave de criptografia padrão ou escolhe uma chave de criptografia simétrica gerenciada pelo cliente.
-
Escolha Update EBS encryption (Atualizar criptografia do EBS).
- AWS CLI
-
Para visualizar a criptografia por configuração padrão
-
Para uma região específica
$ aws ec2 get-ebs-encryption-by-default --region region
-
Para todas as regiões em sua conta
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
Para habilitar a criptografia por padrão
-
Para uma região específica
$ aws ec2 enable-ebs-encryption-by-default --region region
-
Para todas as regiões em sua conta
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
Para desabilitar a criptografia por padrão
-
Para uma região específica
$ aws ec2 disable-ebs-encryption-by-default --region region
-
Para todas as regiões em sua conta
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
- PowerShell
-
Para visualizar a criptografia por configuração padrão
-
Para uma região específica
PS C:\> Get-EC2EbsEncryptionByDefault -Region region
-
Para todas as regiões em sua conta
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |`
Format-Table -AutoSize
Para habilitar a criptografia por padrão
-
Para uma região específica
PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
-
Para todas as regiões em sua conta
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
Para desabilitar a criptografia por padrão
-
Para uma região específica
PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
-
Para todas as regiões em sua conta
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
Não é possível alterar a Chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
