Amazon Elastic Compute Cloud
Benutzerhandbuch für Linux-Instances

Amazon EBS Encryption

Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Volumes, ohne dass eine eigene Infrastruktur für die Schlüsselverwaltung erstellt, verwaltet und abgesichert werden muss. Es werden AWS Key Management Service (AWS KMS)-Kundenmasterschlüssel (CMKs) beim Erstellen verschlüsselter Volumes und Snapshots verwendet. Weitere Informationen finden Sie unter Customer Master Keys (CMKs, Kundenmasterschlüssel) im AWS Key Management Service Developer Guide.

Wenn Sie ein verschlüsseltes EBS-Volume erstellen und einem unterstützten Instance-Typ zuordnen, werden die folgenden Datentypen verschlüsselt:

  • Die auf dem Volume gespeicherten Daten

  • Alle Daten, die zwischen dem Volume und der Instance verschoben werden

  • Alle Snapshots, die von dem Volume erstellt werden

  • Alle Volumes, die von diesen Snapshots erstellt werden

Sie können sowohl Boot- als auch Daten-Volumes einer EC2-Instance verschlüsseln.

Die Verschlüsselungsabläufe finden auf den Servern statt, auf denen die Amazon EC2-Instances gehostet werden, um die Sicherheit sowohl ruhender Daten als auch übertragener Daten zwischen einer Instance und dem verbundenen EBS-Speicher zu gewährleisten.

Öffentliche Snapshots verschlüsselter Volumes werden nicht unterstützt, aber Sie können einen verschlüsselten Snapshot für bestimmte Konten freigeben. Weitere Informationen finden Sie unter Freigeben eines Amazon EBS-Snapshots.

Unterstützte Volume-Typen

Die Funktion wird von allen EBS-Volume-Typen unterstützt (Allzweck-SSD [gp2], Bereitgestellte IOPS-SSD [io1], Throughput Optimized HDD [st1], Cold HDD [sc1] und Magnetic [standard]). Sie können bei verschlüsselten Volumes dieselbe IOPS-Leistung voraussetzen wie bei unverschlüsselten Volumes, mit minimalen Auswirkungen auf die Latenz. Der Zugriff auf verschlüsselte Volumes erfolgt genau wie der Zugriff auf andere Volumes. Die Ver- und Entschlüsselung werden transparent gehandhabt und erfordern keine weitere Aktion von Ihnen oder Ihren Anwendungen.

Unterstützte Instance-Typen

Amazon EBS-Verschlüsselung ist für die unten aufgeführten Instance-Typen verfügbar. Sie können diesen Instance-Typen sowohl verschlüsselte als auch unverschlüsselte Volumes gleichzeitig zuordnen.

  • Allgemeine Verwendungszwecke: A1, M3, M4, M5, M5a, M5ad, M5d, T2, T3 und T3a

  • Für Datenverarbeitung optimiert: C3, C4, C5, C5d und C5n

  • Arbeitsspeicheroptimiert: cr1.8xlarge, R3, R4, R5, R5a, R5ad, R5d, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, X1, X1e und z1d

  • Für Speicherung optimiert: D2, h1.2xlarge, h1.4xlarge, I2 und I3

  • Beschleunigte Datenverarbeitung: F1, G2, G3, P2 und P3

Standardmäßige Verschlüsselung

Sie können Ihr AWS-Konto so konfigurieren, dass es die Verschlüsselung der EBS-Volumes und Snapshots erzwingt. Das Aktivieren der standardmäßigen Verschlüsselung hat zwei Auswirkungen:

  • AWS verschlüsselt neue EBS-Volumes beim Start.

  • AWS verschlüsselt neue Kopien unverschlüsselter Snapshots.

Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.

Neu erstellte EBS-Ressourcen werden mit dem standardmäßigen Kundenmasterschlüssel (CMK) Ihres Kontos verschlüsselt, wenn Sie keinen kundenverwalteten CMK in den EC2-Einstellungen oder beim Start angeben. Weitere Informationen finden Sie unter Verwaltung von Verschlüsselungsschlüsseln.

Die standardmäßige Verschlüsselung hat keine Auswirkung auf vorhandene EBS-Volumes oder Snapshots. Wenn Sie jedoch unverschlüsselte Snapshots kopieren oder unverschlüsselte Volumes wiederherstellen, werden die resultierenden Snapshots oder Volumes verschlüsselt. Beispiele für den Übergang von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter Verschlüsseln unverschlüsselter Ressourcen.

Wenn Sie die standardmäßige Verschlüsselung aktivieren, können Sie eine Amazon EC2-Instance nur starten, wenn der Instance-Typ die EBS-Verschlüsselung unterstützt. Weitere Informationen finden Sie unter Unterstützte Instance-Typen.

Aktivieren Sie beim Migrieren von Servern mithilfe von AWS Server Migration Service (SMS) nicht standardmäßig die Verschlüsselung. Wenn Sie bei standardmäßig aktivierter Verschlüsselung Delta-Replikationsfehler feststellen, schalten Sie diese Funktion aus.

So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie die Region in der Navigationsleiste aus.

  3. Wählen Sie im Navigationsbereich die Option EC2 Dashboard aus.

  4. Wählen Sie in der oberen rechten Ecke der Seite Account Attributes (Kontoattribute), Settings (Einstellungen).aus.

  5. Wählen Sie unter EBS Storage (EBS-Speicher) die Option Always encrypt new EBS volumes (Neue EBS-Volumes immer verschlüsseln) aus.

  6. Wählen Sie Update (Aktualisieren) aus.

Verwaltung von Verschlüsselungsschlüsseln

Amazon EBS erstellt automatisch in jeder Region, in der Sie AWS-Ressourcen speichern, einen eindeutigen AWS-verwalteten CMK mit dem Alias alias/aws/ebs. Diesen Schlüssel verwendet Amazon EBS standardmäßig für die Verschlüsselung. Alternativ können Sie einen kundenverwalteten CMK angeben, den Sie als Standardschlüssel für die Verschlüsselung erstellt haben.

Anmerkung

Die Erstellung eines eigenen CMK gewährt Ihnen größere Flexibilität, einschließlich der Möglichkeit, Schlüssel für die Definition von Zugriffskontrollen zu erstellen, zu rotieren und zu deaktivieren.

Sie können den CMK, der mit einem vorhandenen Snapshot oder verschlüsselten Volume verknüpft ist, nicht mehr ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen CMK zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen CMK verschlüsselt wird.

EBS verschlüsselt Ihr Volume mit einem Datenschlüssel mithilfe des in der Branche üblichen AES-256-Algorithmus. Ihr Datenschlüssel wird mit Ihren verschlüsselten Daten auf der Festplatte gespeichert, jedoch erst, wenn EBS ihn mit Ihrem CMK verschlüsselt. Er wird niemals in Volltext auf der Festplatte angezeigt. Derselbe Datenschlüssel gilt für Snapshots des Volumes und für alle anschließend aus diesen Snapshots erstellten Volumes. Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management Service Developer Guide.

Voraussetzung

Wenn Sie einen benutzerdefinierten CMK als Standard für die EBS-Verschlüsselung konfigurieren, müssen Sie Ihren Benutzern auch Zugriff auf eine KMS-Schlüsselrichtlinie gewähren, die die Verwendung des CMK für das Starten von Instances, Erstellen von Volumes, Kopieren von Snapshots und Kopieren von Abbildern gestattet. Diese Berechtigungen beinhalten Folgendes: GenerateDataKeyWithoutPlainText, Reencrypt*, CreateGrant, DescribeKey und Decrypt. Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle für AWS KMS und Wie Amazon Elastic Block Store (Amazon EBS) AWS KMS verwendet.

So konfigurieren Sie den Standard-CMK für EBS-Verschlüsselung für eine Region

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie die Region in der Navigationsleiste aus.

  3. Wählen Sie Account Attributes (Kontoattribute), Settings (Einstellungen) aus.

  4. Wählen Sie Change the default key (Standardschlüssel ändern) und dann einen verfügbaren Schlüssel aus.

  5. Wählen Sie Update (Aktualisieren) aus.

Weitere Informationen über Schlüsselverwaltung und Schlüsselzugriffsberechtigungen finden Sie unter Wie Amazon Elastic Block Store (Amazon EBS) AWS KMS verwendet und Authentifizierung und Zugriffskontrolle für AWS KMS im AWS Key Management Service Developer Guide.

Verschlüsselungsparameter für EBS-Volumes

Sie wenden die Verschlüsselung auf EBS-Volumes an, indem Sie den Parameter Encrypted auf true einstellen. (Der Parameter Encrypted ist optional, wenn die standardmäßige Verschlüsselung aktiviert ist).

Optional können Sie mit KmsKeyId einen benutzerdefinierten Schlüssel angeben, mit dem das Volume verschlüsselt werden soll. (Der Parameter Encrypted muss ebenfalls auf true eingestellt sein, selbst dann, wenn die Verschlüsselung standardmäßig aktiviert ist.) Wenn KmsKeyId nicht angegeben wird, ist vom Verschlüsselungszustand des Quell-Snapshots und dessen Eigentümerschaft abhängig, welcher Schlüssel verwendet wird.

Die folgende Tabelle beschreibt das Verschlüsselungsergebnis für jede mögliche Kombination von Einstellungen.

Ergebnisse der Verschlüsselung

Ist der Parameter Encrypted festgelegt? Ist standardmäßig eine Verschlüsselung festgelegt? Volume-Quelle Standard (kein CMK angegeben) Benutzerdefiniert (CMK angegeben)
Nein Nein Neues leeres Volume Unverschlüsselt N/A
Nein Nein Unverschlüsselter eigener Snapshot Unverschlüsselt
Nein Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Unverschlüsselt
Nein Nein Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK*
Ja Nein Neues Volume Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK**
Ja Nein Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK
Ja Nein Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Nein Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Nein Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Nein Ja Neues (leeres) Volume Verschlüsselt mit Standard-CMK
Nein Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK N/A
Nein Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Nein Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Nein Ja Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Ja Neues Volume Verschlüsselt mit Standard-CMK Verschlüsselt mit angegebenem CMK
Ja Ja Unverschlüsselter eigener Snapshot Verschlüsselt mit Standard-CMK
Ja Ja Verschlüsselter eigener Snapshot Verschlüsselt mit demselben Schlüssel
Ja Ja Unverschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK
Ja Ja Verschlüsselter Snapshot, der mit Ihnen geteilt wird Verschlüsselt mit Standard-CMK

* Dies ist der Standard-CMK zur EBS-Verschlüsselung für das AWS-Konto und die AWS-Region. Standardmäßig ist dies ein eindeutiger von AWS verwalteter CMK für EBS; Sie können auch einen vom Kunden verwalteten CMK angeben. Weitere Informationen finden Sie unter Verwaltung von Verschlüsselungsschlüsseln.

** Dies ist ein kundenverwalteter CMK, der zur Startzeit für das Volume angegeben wurde. Dieser CMK wird anstelle des Standard-CMK für das AWS-Konto und die Region verwendet.

Erstellen neuer leerer Volumes mit Verschlüsselung

Wenn Sie ein neues, leeres EBS-Volume erstellen, können Sie es mit Ihrem standardmäßigen CMK verschlüsseln, indem Sie das Flag Encrypted festlegen. Um das Volume mit einem kundenverwalteten CMK zu verschlüsseln, müssen Sie auch einen Wert für KmsKeyId angeben. Das Volume ist ab dem Zeitpunkt verschlüsselt, an dem es erstmals verfügbar ist. Somit sind Ihre Daten immer gesichert. Die detaillierten Schritte finden Sie unter Erstellen eines Amazon EBS-Volumes.

Standardmäßig verschlüsselt derselbe CMK, den Sie beim Erstellen des Volumes ausgewählt haben, die Snapshots, die Sie von ihm machen und die Volumes, die Sie aus diesen Snapshots wiederherstellen. Sie können die Verschlüsselung eines verschlüsselten Volumes oder Snapshots nicht entfernen. Dies bedeutet, dass ein Volume, das aus einem verschlüsselten Snapshot oder einer Kopie eines verschlüsselten Snapshots wiederhergestellt wurde, immer verschlüsselt ist.

Verschlüsseln unverschlüsselter Ressourcen

Obwohl es keinen direkten Weg gibt, vorhandene unverschlüsselte Volumes oder Snapshots zu verschlüsseln, können Sie vorhandene unverschlüsselte Daten mit der CreateVolume- oder CopySnapshot-Aktion verschlüsseln. Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, erzwingt AWS die Verschlüsselung der resultierenden neuen Volumes oder Snapshots mit dem Standard-CMK. Selbst wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie Verschlüsselungsparameter mit CreateVolume oder CopySnapshot bereitstellen, um Ressourcen individuell zu verschlüsseln. In beiden Fällen können Sie die Verschlüsselungsstandards überschreiben, um einen kundenverwalteten CMK anzuwenden. Alle dargestellten Aktionen können mit der EC2-Konsole, AWS-CLI oder AWS-API ausgeführt werden. Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-Volumes und Kopieren eines Amazon EBS-Snapshots.

Wenn Sie die Snapshot-Kopie mit einem kundenverwalteten CMK verschlüsseln möchten, müssen Sie die Parameter Encrypted und KmsKeyId wie in Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung nicht aktiviert) gezeigt angeben.

Sie können auch neue Verschlüsselungszustände anwenden, wenn Sie eine Instance aus einem EBS-gestützten AMI starten. Dies liegt daran, dass EBS-gestützte AMIs Snapshots von EBS-Volumes enthalten, die wie beschrieben bearbeitet werden können. Weitere Informationen über Verschlüsselungsoptionen beim Starten einer Instance aus einem EBS-gestützten AMI finden Sie unter Verwenden der Verschlüsselung mit EBS-gestützten AMIs.

Beispiele für Verschlüsselungsergebnisse

Die folgenden Beispiele veranschaulichen, wie diese Aktionen und die Verschlüsselungsparameter zum Verwalten der Verschlüsselung Ihrer Volumes und Snapshots verwendet werden können. Eine vollständige Liste der Verschlüsselungsfälle finden Sie in der Ergebnistabelle der Verschlüsselung.

Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung nicht aktiviert)

Ohne die aktivierte standardmäßige Verschlüsselung ist ein Volume, das aus einem unverschlüsselten Snapshot wiederhergestellt wurde, standardmäßig unverschlüsselt. Sie können jedoch das resultierende Volume verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Das folgende Diagramm veranschaulicht den Prozess.

Wenn Sie den KmsKeyId-Parameter weglassen, wird das resultierende Volume mit Ihrem Standard-CMK verschlüsselt. Sie müssen eine Schlüssel-ID angeben, um das Volume mit einem anderen CMK zu verschlüsseln.

Weitere Informationen finden Sie unter Wiederherstellen eines Amazon EBS-Volumes aus einem Snapshot.

Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für Volumes, die aus unverschlüsselten Snapshots wiederhergestellt wurden, zwingend erforderlich und es sind keine Verschlüsselungsparameter für Ihren Standard-CMK erforderlich. Im folgenden Diagramm wird dieser einfache Standardfall veranschaulicht:

Wenn Sie das wiederhergestellte Volume mit einem kundenverwalteten CMK verschlüsseln möchten, müssen Sie die Parameter Encrypted und KmsKeyId angeben, wie in Wiederherstellen eines unverschlüsselten Volumes (Standardmäßige Verschlüsselung nicht aktiviert) gezeigt.

Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung nicht aktiviert)

Ohne aktivierte standardmäßige Verschlüsselung ist eine unverschlüsselte Snapshot-Kopie standardmäßig unverschlüsselt. Sie können jedoch den resultierenden Snapshot verschlüsseln, indem Sie den Encrypted-Parameter und optional den KmsKeyId-Parameter festlegen. Wenn Sie KmsKeyId weglassen, wird der resultierende Snapshot mit Ihrem Standard-CMK verschlüsselt. Sie müssen eine Schlüssel-ID angeben, um das Volume mit einem anderen CMK zu verschlüsseln.

Das folgende Diagramm veranschaulicht den Prozess.


                    Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Sie können ein EBS-Volume verschlüsseln, indem Sie einen unerwarteten Snapshot in einen verschlüsselten Snapshot kopieren und dann ein Volume aus dem verschlüsselten Snapshot erstellen. Weitere Informationen finden Sie unter Kopieren eines Amazon EBS-Snapshots.

Kopieren eines unverschlüsselten Snapshots (Standardmäßige Verschlüsselung aktiviert)

Wenn Sie die standardmäßige Verschlüsselung aktiviert haben, ist die Verschlüsselung für unverschlüsselte Snapshot-Kopien zwingend erforderlich und es sind keine Verschlüsselungsparameter erforderlich, wenn der Standard-CMK verwendet wird. Das folgende Diagramm veranschaulicht diesen Standardfall.


                    Erstellen Sie einen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Erneutes Verschlüsseln eines verschlüsselten Volumes

Wenn die CreateVolume-Aktion für einen verschlüsselten Snapshot ausgeführt wird, haben Sie die Möglichkeit, ihn mit einem anderen CMK erneut zu verschlüsseln. Das folgende Diagramm veranschaulicht den Prozess. Sie besitzen zwei CMKs, CMK A und CMK B. Der Quell-Snapshot wird mit CMK A verschlüsselt. Während der Volume-Erstellung mit der als Parameter bereitgestellten Schlüssel-ID von CMK B werden die Quelldaten automatisch entschlüsselt und dann mit CMK B erneut verschlüsselt.


                    Kopieren Sie einen verschlüsselten Snapshot und verschlüsseln die Kopie mit einem neuen Schlüssel.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Weitere Informationen finden Sie unter Wiederherstellen eines Amazon EBS-Volumes aus einem Snapshot.

Erneutes Verschlüsseln eines verschlüsselten Snapshots

Durch die Möglichkeit, einen Snapshot beim Kopieren zu verschlüsseln, können Sie einen neuen CMK auf einen bereits verschlüsselten Snapshot anwenden, den Sie besitzen. Auf Volumes, die aus dieser verschlüsselten Kopie wiederhergestellt wurden, kann nur mit dem neuen CMK zugegriffen werden. Das folgende Diagramm veranschaulicht den Prozess. Sie besitzen zwei CMKs, CMK A und CMK B. Der Quell-Snapshot wird mit CMK A verschlüsselt. Während des Kopierens mit der als Parameter bereitgestellten Schlüssel-ID von CMK B, werden die Quelldaten automatisch mit CMK B erneut verschlüsselt.


                    Kopieren Sie einen verschlüsselten Snapshot und verschlüsseln die Kopie mit einem neuen Schlüssel.

Anmerkung

Wenn Sie einen Snapshot kopieren und mit einem neuen CMK verschlüsseln, wird immer eine vollständige (nicht inkrementelle) Kopie erstellt, was zu zusätzlichen Verzögerungen und Speicherkosten führt.

Ein ähnliches Szenario liegt vor, wenn Sie neue Verschlüsselungsparameter auf eine Kopie eines Snapshot anwenden möchten, der für Sie freigegeben wurde. Die Kopie ist standardmäßig mit einem CMK verschlüsselt, den der Eigentümer des Snapshots freigegeben hat. Wir empfehlen jedoch, dass Sie eine Kopie des geteilten Snapshot mit einem anderen CMK, den Sie kontrollieren, erstellen. Dies schützt Ihren Zugriff auf das Volume, wenn der Original-CMK kompromittiert wurde oder der Eigentümer den CMK aus einem beliebigen Grund widerruft. Weitere Informationen finden Sie unter Verschlüsselung und Kopieren von Snapshots.

Migrieren von Daten zwischen verschlüsselten und unverschlüsselten Volumes

Wenn Sie Zugriff auf ein verschlüsseltes und ein unverschlüsseltes Volume haben, können Sie jederzeit Daten vom einen zum anderen übertragen. EC2 führt die Verschlüsselungs- und Entschlüsselungsvorgänge auf transparente Weise aus.

Verwenden Sie zum Beispiel den Befehl rsync zum Kopieren der Daten. Im folgenden Befehl befinden sich die Quelldaten in /mnt/source und das Ziel-Volume ist unter /mnt/destination gemountet.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Festlegen der Verschlüsselung und der Schlüsselstandards mit der API und CLI

Mit den folgenden API-Aktionen und CLI-Befehlen können Sie die standardmäßige Verschlüsselung und den Standard-Kundenmasterschlüssel (CMK) verwalten.

API-Aktion CLI-Befehl Beschreibung

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Deaktiviert die standardmäßige Verschlüsselung.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Aktiviert die standardmäßige Verschlüsselung.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

Beschreibt den Standard-CMK.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Gibt an, ob die standardmäßige Verschlüsselung aktiviert ist.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

Ändert den zur Verschlüsselung von EBS-Volumes verwendeten Standard-CMK.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

Setzt den AWS-verwalteten Standard-CMK als Standard-CMK für die Verschlüsselung von EBS-Volumes zurück.