As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Volumes Amazon EBS compatíveis para verificação de malware
Em todos os Regiões da AWS locais onde há GuardDuty suporte ao EC2 recurso Malware Protection for, você pode escanear os volumes do Amazon EBS que não estão criptografados ou não estão criptografados. É possível ter volumes do Amazon EBS criptografados com uma Chave gerenciada pela AWSou com a chave gerenciada pelo cliente. Atualmente, algumas das regiões em que o Malware Protection for EC2 está disponível podem oferecer suporte às duas formas de criptografar seus volumes do Amazon EBS, enquanto outras oferecem suporte somente à chave gerenciada pelo cliente.
Para obter mais informações, consulte Disponibilidade de recursos específicos da região.
A lista a seguir descreve a chave que GuardDuty usa se seus volumes do Amazon EBS estão criptografados ou não:
-
Volumes do Amazon EBS que não são criptografados ou criptografados com Chave gerenciada pela AWS — GuardDuty usam sua própria chave para criptografar os volumes de réplica do Amazon EBS.
Se sua região não permitir a verificação de volumes do Amazon EBS que são criptografados com a criptografia do Amazon EBS por padrão, será preciso modificar a chave padrão para que se torne uma chave gerenciada pelo cliente. Isso ajudará a GuardDuty acessar esses volumes do EBS. Ao modificar a chave, até mesmo os volumes futuros do EBS serão criados com a chave atualizada para que ela GuardDuty possa suportar escaneamentos de malware. Para saber as etapas de modificação da chave padrão, consulte Modificar o ID da AWS KMS chave padrão de um volume do Amazon EBS a próxima seção.
-
Volumes do Amazon EBS que são criptografados com chave gerenciada pelo cliente — GuardDuty usam a mesma chave para criptografar o volume de réplica do EBS. Para obter informações sobre quais políticas relacionadas à AWS KMS criptografia são suportadas, consultePermissões de função vinculada ao serviço para Proteção contra malware para EC2.
Modificar o ID da AWS KMS chave padrão de um volume do Amazon EBS
Quando você cria um volume do Amazon EBS usando a criptografia do Amazon EBS e não especifica o ID da AWS KMS chave, seu volume do Amazon EBS é criptografado com uma chave padrão para criptografia. Ao habilitar a criptografia por padrão, o Amazon EBS criptografará automaticamente novos volumes e snapshots usando sua chave KMS padrão para a criptografia do Amazon EBS.
É possível modificar a chave de criptografia padrão e usar uma chave gerenciada pelo cliente para a criptografia do Amazon EBS. Isso ajudará a GuardDuty acessar esses volumes do Amazon EBS. Para modificar o ID da chave padrão do EBS, adicione a seguinte permissão necessária à sua política do IAM: ec2:modifyEbsDefaultKmsKeyId. Qualquer volume recém-criado do Amazon EBS que venha a ser criptografado, mas que não especifique um ID de chave KMS associado, usará o ID de chave padrão. Use um dos métodos a seguir para atualizar o ID da chave padrão do EBS:
Para modificar o ID da chave do KMS padrão de um volume do Amazon EBS
Execute um destes procedimentos:
-
Usando uma API — Você pode usar a ModifyEbsDefaultKmsKeyIdAPI. Para obter informações sobre como é possível visualizar o status de criptografia do seu volume, consulte Criar volume do Amazon EBS.
-
Usando o AWS CLI comando — O exemplo a seguir modifica a ID da chave KMS padrão que criptografará os volumes do Amazon EBS se você não fornecer uma ID da chave KMS. Certifique-se de substituir a região pela ID Região da AWS da sua chave KM.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEO comando acima gerará uma saída semelhante à seguinte saída:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Para obter mais informações, consulte modify-ebs-default-kms-key-id
.
