本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在所有 GuardDuty 支持恶意软件防护 EC2 功能 AWS 区域 的地方,您都可以扫描未加密或加密的 Amazon EBS 卷。您可能拥有使用 AWS 托管式密钥或客户自主管理型密钥加密的 Amazon EBS 卷。目前,某些提供恶意软件防护的区域可能支持两种加密您 EC2 的 Amazon EBS 卷的方式,而其他地区则仅支持客户托管密钥。
有关更多信息,请参阅 特定于区域的特征可用性。
以下列表描述了无论您的 Amazon EBS 卷是否加密所 GuardDuty 使用的密钥:
-
未加密或加密的 Amazon EBS 卷 GuardDuty 使用自己的密钥对副本 Amazon EBS 卷进行加密。 AWS 托管式密钥
如果您所在区域不支持扫描使用默认 Amazon EBS 加密的 Amazon EBS 卷,则需要将默认密钥修改为客户自主管理型密钥。这将有助于 GuardDuty 访问这些 EBS 卷。通过修改密钥,即使是未来的 EBS 卷也将使用更新的密钥创建, GuardDuty 从而支持恶意软件扫描。有关修改默认密钥的步骤,请参阅下一节中的修改亚马逊 EBS 卷的默认 AWS KMS 密钥 ID。
-
使用@@ 客户托管密钥加密的 Amazon EBS 卷 GuardDuty 使用相同的密钥对副本 EBS 卷进行加密。有关支持哪些 AWS KMS 加密相关策略的信息,请参阅恶意软件防护的服务相关角色权限 EC2。
修改亚马逊 EBS 卷的默认 AWS KMS 密钥 ID
当您使用使用亚马逊 EBS 加密创建 Amazon EBS 卷并且未指定 AWS KMS 密钥 ID 时,您的亚马逊 EBS 卷将使用默认加密密钥进行加密。如果默认启用加密,Amazon EBS 将使用 Amazon EBS 加密的默认 KMS 密钥自动加密新卷和快照。
您可以修改默认加密密钥,并使用客户自主管理型密钥来进行 Amazon EBS 加密。这将有助于 GuardDuty访问这些 Amazon EBS 卷。要修改 EBS 默认密钥 ID,请在您的 IAM policy 中添加以下必要权限:ec2:modifyEbsDefaultKmsKeyId。您选择加密但未指定关联的 KMS 密钥 ID 的新建 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一来更新 EBS 默认密钥 ID:
修改 Amazon EBS 卷的默认 KMS 密钥 ID
请执行以下操作之一:
-
使用 API — 您可以使用 ModifyEbsDefaultKmsKeyIdAPI。有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷。
-
使用 AWS CLI 命令 — 以下示例修改默认 KMS 密钥 ID,如果您不提供 KMS 密钥 ID,则该密钥将加密 Amazon EBS 卷。请务必将区域替换为您 AWS 区域 的 KM 密钥 ID。
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLE上述命令将生成与下方输出类似的输出:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }有关更多信息,请参阅 modify-ebs-default-kms-key-id
。
