本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon EBS
<a name="setting-up"></a>

完成本節中的任務，以設定使用 Amazon EBS 資源。

**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [(*選用*) 建立和使用 Amazon EBS 加密的客戶受管金鑰](#create-kms-key)
+ [(*選用*) 啟用 Amazon EBS 快照的封鎖公開存取](#setup-bpa)

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## (*選用*) 建立和使用 Amazon EBS 加密的客戶受管金鑰
<a name="create-kms-key"></a>

Amazon EBS 加密是一種加密解決方案，使用 AWS KMS 密碼編譯金鑰來加密 Amazon EBS 磁碟區和 Amazon EBS 快照。Amazon EBS 會在每個區域中自動為 Amazon EBS 加密建立唯一的 AWS 受管 KMS 金鑰。此 KMS 金鑰具有 `aws/ebs` 別名。您無法輪換預設 KMS 金鑰或管理其許可。如需更多彈性和控制用於 Amazon EBS 加密的 KMS 金鑰，您可以考慮建立和使用客戶受管金鑰。

**建立和使用 Amazon EBS 加密的客戶受管金鑰**

1. [ 建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。

1. [選取 KMS 金鑰做為 Amazon EBS 加密的預設 KMS 金鑰。](encryption-by-default.md)

1. [授予使用者使用 KMS 金鑰進行 Amazon EBS 加密的許可](ebs-encryption-requirements.md#ebs-encryption-permissions)。

## (*選用*) 啟用 Amazon EBS 快照的封鎖公開存取
<a name="setup-bpa"></a>

若要阻止公開共用您的快照，您可以啟用快照的封鎖公開存取。針對特定區域啟用快照的封鎖公開存取功能後，只要嘗試在該區域中公開共用快照，都會遭系統自動封鎖。這有助於改善快照的安全性，並防止快照資料遭未經授權或意外存取。

如需詳細資訊，請參閱[封鎖 Amazon EBS 快照的公開存取](block-public-access-snapshots.md)。

------
#### [ Console ]

**啟用快照的封鎖公開存取**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格中，選擇 **EC2 儀表板**，然後在**帳戶屬性** (右側) 中選擇**資料保護和安全性**。

1. 在 **EBS 快照的封鎖公開存取**區段中，選擇**管理**。

1. 選取**封鎖公開存取**，然後選擇下列其中一個選項：
   + **封鎖所有公開存取**：封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外，已公開共用的快照會被視為私有快照，不再開放公開使用。
   + **封鎖新公開共用**：僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

1. 選擇**更新**。

------
#### [ AWS CLI ]

**啟用快照的封鎖公開存取**  
使用 [enable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-snapshot-block-public-access.html) 命令。為 `--state` 指定下列其中一個值：
+ `block-all-sharing`：封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外，已公開共用的快照會被視為私有快照，不再開放公開使用。
+ `block-new-sharing`：僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

```
aws ec2 enable-snapshot-block-public-access --state {{block-new-sharing}}
```

------
#### [ PowerShell ]

**啟用快照的封鎖公開存取**  
使用 [Enable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SnapshotBlockPublicAccess.html) cmdlet。為 `-State` 指定下列其中一個值：
+ `block-all-sharing`：封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外，已公開共用的快照會被視為私有快照，不再開放公開使用。
+ `block-new-sharing`：僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

```
Enable-EC2SnapshotBlockPublicAccess -State {{block-new-sharing}}
```

------