本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EBS 加密
<a name="ebs-encryption"></a>

使用 Amazon EBS 加密做為與 Amazon EC2 執行個體相關聯之 Amazon EBS 資源的直接加密解決方案。使用 Amazon EBS 加密，您不需要建置、維護或保護自己的金鑰管理基礎設施。在建立加密磁碟區和快照時，Amazon EBS 加密會使用 AWS KMS keys 。

加密操作會在主控 EC2 執行個體的伺服器上進行，確保執行個體和與其連接之 EBS 儲存體間待用資料和傳輸中資料的安全。

您可以將加密和未加密磁碟區同時連接到執行個體。所有 Amazon EC2 執行個體類型都支援 Amazon EBS 加密。

**Topics**
+ [Amazon EBS 加密的運作方式](how-ebs-encryption-works.md)
+ [Amazon EBS 加密的要求](ebs-encryption-requirements.md)
+ [預設啟用 Amazon EBS 加密](encryption-by-default.md)
+ [加密 EBS 資源](#encryption-parameters)
+ [輪換用於 Amazon EBS 加密的 AWS KMS 金鑰](kms-key-rotation.md)
+ [Amazon EBS 加密範例](encryption-examples.md)

## 加密 EBS 資源
<a name="encryption-parameters"></a>

當您建立想要加密的磁碟區時，可透過啟用加密來加密 EBS 磁碟區或使用 [預設加密](encryption-by-default.md) 來啟用加密。

當您加密磁碟區時，您可指定使用對稱加密 KMS 金鑰 來加密磁碟區。如果您未指定 KMS 金鑰，則用於加密的 KMS 金鑰 取決於來源快照的加密狀態及其擁有權。如需詳細資訊，請參閱 [加密結果表](encryption-examples.md#ebs-volume-encryption-outcomes)。

**注意**  
如果您使用 API 或 AWS CLI 指定 KMS 金鑰，請注意 會以非同步方式 AWS 驗證 KMS 金鑰。因此，如果您指定的 KMS 金鑰 ID、別名或 ARN 無效，則動作雖顯示完成，但最終會失敗。

您不能變更與現有快照或磁碟區相關聯的 KMS 金鑰。但是，您可以在快照複製操作中建立與不同 KMS 金鑰 的關聯，讓複製後的快照使用新的 KMS 金鑰 來加密。

### 在建立時加密空白磁碟區
<a name="new-encrypted-volumes"></a>

當您建立新的、空的 EBS 磁碟區，您可以透過對特定磁碟區建立操作來啟用加密。如果預設為啟用 EBS 加密，則會使用 EBS 加密的預設 KMS 金鑰 來自動加密磁碟區。您也可以為特定的磁碟區建立作業指定不同的對稱加密 KMS 金鑰。磁碟區在第一次可用時即會加密，因此您的資料始終受到保護。如需詳細程序，請參閱[建立 Amazon EBS 磁碟區](ebs-creating-volume.md)。

依預設，您在建立磁碟區時選取的 KMS 金鑰 會加密您從其中產生的磁碟區，以及您從那些加密快照還原的磁碟區。您無法從已加密磁碟區或快照移除加密，這表示從已加密快照還原的磁碟區，或已加密快照的複本「一律」加密。

雖然無法支援加密磁碟區的公有快照，但您可以和特定帳戶共享加密快照。如需詳細指示，請參閱 [與其他 AWS 帳戶共用 Amazon EBS 快照](ebs-modifying-snapshot-permissions.md)。

### 加密未加密的資源
<a name="encrypt-unencrypted"></a>

您無法直接加密現有的未加密磁碟區或快照。

若要加密未加密的磁碟區，請建立該磁碟區的快照，然後使用快照建立新的加密磁碟區。如需詳細資訊，請參閱[建立快照](ebs-create-snapshot.md)及[建立磁碟區](ebs-creating-volume.md)。

若要加密未加密的快照，請建立該快照的加密複本。如需詳細資訊，請參閱[複製快照](ebs-copy-snapshot.md)。

如果您預設啟用帳戶進行加密，則從未加密快照建立的磁碟區和快照複本一律會加密。否則，您必須在請求中指定加密參數。如需詳細資訊，請參閱[預設啟用加密](encryption-by-default.md)。