預設啟用 Amazon EBS加密 - Amazon EBS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

預設啟用 Amazon EBS加密

您可以設定 AWS 帳戶,強制加密您建立的新EBS磁碟區和快照複本。例如,Amazon 會EBS加密啟動執行個體時建立的EBS磁碟區,以及從未加密快照複製的快照。如需從未加密轉換為加密EBS資源的範例,請參閱加密未加密的資源

根據預設,加密不會影響現有的EBS磁碟區或快照。

考量事項

  • 預設加密是區域特有設定。如果您對區域啟用它,則無法對該區域中的個別磁碟區或快照停用它。

  • 所有目前世代上一世代的執行個體類型預設都支援 Amazon EBS加密。

  • 如果您複製快照並將其加密為新的KMS金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

  • 使用 AWS Server Migration Service (SMS) 遷移伺服器時,預設請勿開啟加密。如果預設加密已啟用,而您遇到差異複寫失敗,請關閉加密。反之,請在建立複寫任務時啟用AMI加密。

Amazon EC2 console
對區域啟用預設加密

  1. 在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/

  2. 從導覽列中選取 Region (區域)。

  3. 從導覽窗格中,選取EC2儀表板

  4. 在頁面右上角選擇 帳戶屬性資料保護和安全性

  5. EBS加密區段中,選擇管理

  6. 選取 Enable (啟用)。您可以將 AWS 受管金鑰 以代表您aws/ebs建立的別名保留為預設加密金鑰,或選擇對稱客戶受管加密金鑰。

  7. 選擇更新EBS加密

AWS CLI
依預設設定檢視加密

  • 對於特定區域

    $ aws ec2 get-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
    default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
依預設啟用加密

  • 對於特定區域

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
依預設停用加密

  • 對於特定區域

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
PowerShell
依預設設定檢視加密

  • 對於特定區域

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object {
    [PSCustomObject]@{ 
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } |`
    Format-Table -AutoSize
依預設啟用加密

  • 對於特定區域

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize
依預設停用加密

  • 對於特定區域

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize

您無法變更與現有快照或加密磁碟區相關聯的KMS金鑰。不過,您可以在快照複製操作期間關聯不同的KMS金鑰,以便產生的複製快照由新KMS金鑰加密。