本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon EBS 进行设置
<a name="setting-up"></a>

完成本部分中的任务，为使用 Amazon EBS 资源做好准备。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
+ [（*可选*）创建和使用用于 Amazon EBS 加密的客户托管密钥](#create-kms-key)
+ [（*可选*）启用阻止公开访问 Amazon EBS 快照](#setup-bpa)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**要注册 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

## 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## （*可选*）创建和使用用于 Amazon EBS 加密的客户托管密钥
<a name="create-kms-key"></a>

Amazon EBS 加密是一种加密解决方案，它使用 AWS KMS 加密密钥来加密您的亚马逊 EBS 卷和亚马逊 EBS 快照。Amazon EBS 会自动为每个地区的亚马逊 EBS 加密创建唯一的 AWS 托管 KMS 密钥。此 KMS 密钥具有 `aws/ebs` 别名。您无法轮换默认 KMS 密钥或管理其权限。为了提高灵活性和更好地控制用于 Amazon EBS 加密的 KMS 密钥，您可考虑创建和使用客户托管密钥。

**创建和使用用于 Amazon EBS 加密的客户托管密钥**

1. [创建对称加密 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。

1. [选择将 KMS 密钥作为用于 Amazon EBS 加密的默认 KMS 密钥](encryption-by-default.md)。

1. [授予用户使用用于 Amazon EBS 加密的 KMS 密钥的权限](ebs-encryption-requirements.md#ebs-encryption-permissions)。

## （*可选*）启用阻止公开访问 Amazon EBS 快照
<a name="setup-bpa"></a>

要防止公开共享您的快照，您可以启用阻止公开访问快照。在为一个区域阻止公开访问快照之后，将自动阻止任何尝试在此区域公开共享快照的行为。这样可以帮助您提高快照的安全性，并保护您的快照数据免遭未经授权的访问或意外访问。

有关更多信息，请参阅 [阻止 Amazon EBS 快照的公开访问](block-public-access-snapshots.md)。

------
#### [ Console ]

**启用阻止公开访问快照**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择 **EC2 控制面板**，然后在（右侧的）**账户属性**中，选择**数据保护和安全**。

1. 在**阻止公开访问 EBS 快照**部分中，选择**管理**。

1. 选择**阻止公开访问**，然后选择以下选项之一：
   + **阻止所有公开访问** – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外，已公开共享的快照将被视为私有快照，且不可公开访问。
   + **阻止新的公开共享** – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过，已经公开共享的快照仍可公开访问。

1. 选择**更新**。

------
#### [ AWS CLI ]

**启用快照的屏蔽公共访问权限**  
使用 [enable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-snapshot-block-public-access.html) 命令。对于 `--state`，请指定下列值之一：
+ `block-all-sharing` – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外，已公开共享的快照将被视为私有快照，且不可公开访问。
+ `block-new-sharing` – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过，已经公开共享的快照仍可公开访问。

```
aws ec2 enable-snapshot-block-public-access --state {{block-new-sharing}}
```

------
#### [ PowerShell ]

**启用快照的屏蔽公共访问权限**  
使用 [Enable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SnapshotBlockPublicAccess.html) cmdlet。对于 `-State`，请指定下列值之一：
+ `block-all-sharing` – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外，已公开共享的快照将被视为私有快照，且不可公开访问。
+ `block-new-sharing` – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过，已经公开共享的快照仍可公开访问。

```
Enable-EC2SnapshotBlockPublicAccess -State {{block-new-sharing}}
```

------