EBSAmazon-Verschlüsselung standardmäßig aktivieren - Amazon EBS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EBSAmazon-Verschlüsselung standardmäßig aktivieren

Sie können Ihr AWS Konto so konfigurieren, dass die Verschlüsselung der neuen EBS Volumes und Snapshot-Kopien, die Sie erstellen, erzwungen wird. Amazon EBS verschlüsselt beispielsweise die EBS Volumes, die beim Starten einer Instance erstellt wurden, und die Snapshots, die Sie aus einem unverschlüsselten Snapshot kopieren. Beispiele für den Übergang von unverschlüsselten zu verschlüsselten Ressourcen finden Sie unter. EBS Verschlüsseln unverschlüsselter Ressourcen

Die Verschlüsselung hat standardmäßig keine Auswirkungen auf bestehende EBS Volumes oder Snapshots.

Überlegungen

  • Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.

  • Die EBS Amazon-Verschlüsselung wird standardmäßig auf allen Instance-Typen der aktuellen Generation und der vorherigen Generation unterstützt.

  • Wenn Sie einen Snapshot kopieren und ihn mit einem neuen KMS Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.

  • Wenn Sie Server mithilfe von AWS Server Migration Service (SMS) migrieren, sollten Sie die Verschlüsselung nicht standardmäßig aktivieren. Wenn die Verschlüsselung bereits standardmäßig aktiviert ist und Delta-Replikationsfehler auftreten, schalten Sie die standardmäßige Verschlüsselung aus. Aktivieren Sie stattdessen die AMI Verschlüsselung, wenn Sie den Replikationsauftrag erstellen.

Amazon EC2 console
So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie auf der Navigationsleiste die Region aus.

  3. Wählen Sie im Navigationsbereich EC2Dashboard aus.

  4. Wählen Sie oben rechts auf der Seite Kontoattribute, Datenschutz und Sicherheit aus.

  5. Wählen Sie im Bereich EBSVerschlüsselung die Option Verwalten aus.

  6. Wählen Sie Enable (Aktivieren). Sie behalten den Von AWS verwalteter Schlüssel mit dem in Ihrem Namen aws/ebs erstellten Alias als Standard-Verschlüsselungsschlüssel bei oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel.

  7. Wählen Sie EBSVerschlüsselung aktualisieren.

AWS CLI
Um die Standardeinstellung der Verschlüsselung anzuzeigen

  • Für eine bestimmte Region

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Für alle Regionen in Ihrem Konto

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
So aktivieren Sie die Verschlüsselung  standardmäßig

  • Für eine bestimmte Region

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Für alle Regionen in Ihrem Konto

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
So deaktivieren Sie die Verschlüsselung  standardmäßig

  • Für eine bestimmte Region

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Für alle Regionen in Ihrem Konto

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
PowerShell
Um die Standardeinstellung der Verschlüsselung anzuzeigen

  • Für eine bestimmte Region

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Für alle Regionen in Ihrem Konto

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
So aktivieren Sie die Verschlüsselung  standardmäßig

  • Für eine bestimmte Region

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Für alle Regionen in Ihrem Konto

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
So deaktivieren Sie die Verschlüsselung  standardmäßig

  • Für eine bestimmte Region

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Für alle Regionen in Ihrem Konto

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Sie können den KMS Schlüssel, der einem vorhandenen Snapshot oder einem verschlüsselten Volume zugeordnet ist, nicht ändern. Sie können jedoch während eines Snapshot-Kopiervorgangs einen anderen KMS Schlüssel zuordnen, sodass der resultierende kopierte Snapshot mit dem neuen KMS Schlüssel verschlüsselt wird.