選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

預設啟用 Amazon EBS 加密

PDF
RSS
焦點模式
預設啟用 Amazon EBS 加密 - Amazon EBS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以設定 AWS 帳戶,強制加密您建立的新 EBS 磁碟區和快照複本。例如,當您啟動執行個體和您從未加密快照複製的快照,Amazon EBS 會加密所建立的 EBS 磁碟區。如需從未加密轉移至已加密 EBS 資源的範例,請參閱 加密未加密的資源

預設加密不會影響現有的 EBS 磁碟區或快照。

考量事項

  • 預設加密是區域特有設定。如果您對區域啟用它,則無法對該區域中的個別磁碟區或快照停用它。

  • 所有目前世代上一世代的執行個體類型預設都支援 Amazon EBS 加密。

  • 如果複製快照並將其加密為新的 KMS 金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。

  • 使用 AWS Server Migration Service (SMS) 遷移伺服器時,預設請勿開啟加密。如果預設加密已啟用,而您遇到差異複寫失敗,請關閉加密。反之,當您建立複寫任務時,請啟用 AMI 加密。

Amazon EC2 console
對區域啟用預設加密

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 從導覽列中選取 Region (區域)。

  3. 從導覽窗格,選取 EC2 Dashboard (EC2 儀表板)

  4. 在頁面右上角選擇 帳戶屬性資料保護和安全性

  5. EBS 加密區段中,選擇管理

  6. 選取 Enable (啟用)。您可以將 AWS 受管金鑰 以代您aws/ebs建立的別名保留為預設加密金鑰,或選擇對稱客戶受管加密金鑰。

  7. 選擇 Update EBS encryption (更新 EBS 加密)。

AWS CLI
依預設設定檢視加密

  • 對於特定區域

    $ aws ec2 get-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
    default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
依預設啟用加密

  • 對於特定區域

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
依預設停用加密

  • 對於特定區域

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • 對於您帳戶中的所有區域

    $ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done
PowerShell
依預設設定檢視加密

  • 對於特定區域

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object {
    [PSCustomObject]@{ 
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } |`
    Format-Table -AutoSize
依預設啟用加密

  • 對於特定區域

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize
依預設停用加密

  • 對於特定區域

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • 對於您帳戶中的所有區域

    PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize
anchoranchoranchor
對區域啟用預設加密

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 從導覽列中選取 Region (區域)。

  3. 從導覽窗格,選取 EC2 Dashboard (EC2 儀表板)

  4. 在頁面右上角選擇 帳戶屬性資料保護和安全性

  5. EBS 加密區段中,選擇管理

  6. 選取 Enable (啟用)。您可以將 AWS 受管金鑰 以代您aws/ebs建立的別名保留為預設加密金鑰,或選擇對稱客戶受管加密金鑰。

  7. 選擇 Update EBS encryption (更新 EBS 加密)。

您不能變更與現有快照或加密磁碟區相關聯的 KMS 金鑰。但是,您可以在快照複製操作中建立與不同 KMS 金鑰 的關聯,讓複製後的快照使用新的 KMS 金鑰 來加密。

下一個主題:

輪換 KMS 金鑰

上一個主題:

要求

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。