本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS 區域 GuardDuty 支援 EC2 惡意軟體防護功能的所有 中,您可以掃描未加密或加密的 Amazon EBS 磁碟區。您可以使用 AWS 受管金鑰或客戶受管金鑰加密 Amazon EBS 磁碟區。目前,提供適用於 EC2 的惡意軟體防護的一些區域可能支援兩種加密 Amazon EBS 磁碟區的方式,而其他區域則僅支援客戶受管金鑰。
如需詳細資訊,請參閱區域特定功能的可用性。
下列清單說明 GuardDuty 是否加密您的 Amazon EBS 磁碟區所使用的金鑰:
-
Amazon EBS 磁碟區未加密或使用 加密 AWS 受管金鑰 – GuardDuty 使用自己的金鑰來加密複本 Amazon EBS 磁碟區。
如果您的區域不支援掃描預設使用 Amazon EBS 加密加密的 Amazon EBS 磁碟區,則您需要修改預設金鑰,才能成為客戶受管金鑰。這將有助於 GuardDuty 存取這些 EBS 磁碟區。透過修改金鑰,即使是未來的 EBS 磁碟區也會使用更新的金鑰建立,以便 GuardDuty 支援惡意軟體掃描。如需修改預設金鑰的步驟,請參閱下一節修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰 ID中的 。
-
使用客戶受管金鑰加密的 Amazon EBS 磁碟區 – GuardDuty 使用相同的金鑰來加密複本 EBS 磁碟區。如需支援哪些 AWS KMS 加密相關政策的詳細資訊,請參閱EC2 惡意軟體防護的服務連結角色許可。
修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰 ID
當您使用 Amazon EBS 加密來建立 Amazon EBS 磁碟區,且未指定 AWS KMS 金鑰 ID 時,您的 Amazon EBS 磁碟區會使用預設金鑰進行加密。當您預設啟用加密時,Amazon EBS 會使用預設 KMS 金鑰進行 Amazon EBS 加密,自動加密新的磁碟區和快照。
您可以修改預設加密金鑰,並使用客戶受管金鑰進行 Amazon EBS 加密。這將有助於 GuardDuty 存取這些 Amazon EBS 磁碟區。若要修改 EBS 預設金鑰 ID,請將下列必要許可新增至 IAM 政策:ec2:modifyEbsDefaultKmsKeyId。您選擇加密但未指定相關聯 KMS 金鑰 ID 的任何新建立 Amazon EBS 磁碟區,都將使用預設金鑰 ID。使用下列其中一種方法來更新 EBS 預設金鑰 ID:
修改 Amazon EBS 磁碟區的預設 KMS 金鑰 ID
執行以下任意一項:
-
使用 API:您可以使用 ModifyEbsDefaultKmsKeyId API。如需有關如何檢視磁碟區的加密狀態的資訊,請參閱建立 Amazon EBS 磁碟區。
-
使用 AWS CLI 命令 – 下列範例會修改預設 KMS 金鑰 ID,如果您不提供 KMS 金鑰 ID,則會加密 Amazon EBS 磁碟區。請務必使用 KM 金鑰 ID AWS 區域 的 取代 區域。
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLE以上命令會產生與下列輸出類似的輸出:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }如需詳細資訊,請參閱 modify-ebs-default-kms-key-id
。
