Serviceleitfäden

Entwickler-Tools

AWS-Konto erstellen

Amazon EBS-Verschlüsselung standardmäßig aktivieren

Fokusmodus

Amazon EBS-Verschlüsselung standardmäßig aktivieren - Amazon EBS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Ihr AWS Konto so konfigurieren, dass die Verschlüsselung der neuen EBS-Volumes und Snapshot-Kopien, die Sie erstellen, erzwungen wird. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter Verschlüsseln unverschlüsselter Ressourcen.

Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus.

Überlegungen

Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden.
Die Amazon EBS-Verschlüsselung wird standardmäßig auf allen Instance-Typen der aktuellen Generation und der vorherigen Generation unterstützt.
Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten.
Wenn Sie Server mithilfe von AWS Server Migration Service (SMS) migrieren, sollten Sie die Verschlüsselung nicht standardmäßig aktivieren. Wenn die Verschlüsselung bereits standardmäßig aktiviert ist und Delta-Replikationsfehler auftreten, schalten Sie die standardmäßige Verschlüsselung aus. Aktivieren Sie stattdessen beim Erstellen des Replikationsauftrags die AMI-Verschlüsselung.

Amazon EC2 console

So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie auf der Navigationsleiste die Region aus.
Wählen Sie im Navigationsbereich EC2 Dashboard aus.
Wählen Sie oben rechts auf der Seite Kontoattribute, Datenschutz und Sicherheit aus.
Wählen Sie im Bereich EBS-Verschlüsselung die Option Verwalten aus.
Wählen Sie Enable (Aktivieren). Sie behalten den Von AWS verwalteter Schlüssel mit dem in Ihrem Namen aws/ebs erstellten Alias als Standard-Verschlüsselungsschlüssel bei oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel.
Wählen Sie Update EBS encryption (EBS-Verschlüsselung aktualisieren).

AWS CLI

Um die Standardeinstellung der Verschlüsselung anzuzeigen

Für eine bestimmte Region


$ aws ec2 get-ebs-encryption-by-default --region region

Für alle Regionen in Ihrem Konto


$ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
    default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done

So aktivieren Sie die Verschlüsselung standardmäßig

Für eine bestimmte Region


$ aws ec2 enable-ebs-encryption-by-default --region region

Für alle Regionen in Ihrem Konto


$ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done

So deaktivieren Sie die Verschlüsselung standardmäßig

Für eine bestimmte Region


$ aws ec2 disable-ebs-encryption-by-default --region region

Für alle Regionen in Ihrem Konto


$ echo -e "Region      \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
do
    default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
    kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
    echo -e "$region \t $default \t\t $kms_key"; 
done

PowerShell

Um die Standardeinstellung der Verschlüsselung anzuzeigen

Für eine bestimmte Region


PS C:\> Get-EC2EbsEncryptionByDefault -Region region

Für alle Regionen in Ihrem Konto


PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object {
    [PSCustomObject]@{ 
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } |`
    Format-Table -AutoSize

So aktivieren Sie die Verschlüsselung standardmäßig

Für eine bestimmte Region


PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

Für alle Regionen in Ihrem Konto


PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize

So deaktivieren Sie die Verschlüsselung standardmäßig

Für eine bestimmte Region


PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

Für alle Regionen in Ihrem Konto


PS C:\> (Get-EC2Region).RegionName |`
    ForEach-Object { 
    [PSCustomObject]@{
        Region                    = $_; 
        EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
        EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
    } } | `
    Format-Table -AutoSize

anchor anchor anchor

So aktivieren Sie die standardmäßige Verschlüsselung für eine Region

Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie auf der Navigationsleiste die Region aus.
Wählen Sie im Navigationsbereich EC2 Dashboard aus.
Wählen Sie oben rechts auf der Seite Kontoattribute, Datenschutz und Sicherheit aus.
Wählen Sie im Bereich EBS-Verschlüsselung die Option Verwalten aus.
Wählen Sie Enable (Aktivieren). Sie behalten den Von AWS verwalteter Schlüssel mit dem in Ihrem Namen aws/ebs erstellten Alias als Standard-Verschlüsselungsschlüssel bei oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel.
Wählen Sie Update EBS encryption (EBS-Verschlüsselung aktualisieren).

Sie können den Verschlüsselung, der mit einem vorhandenen Snapshot oder verschlüsselten Volume verknüpft ist, nicht mehr ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Voraussetzungen

KMS-Schlüssel rotieren

Hat Ihnen diese Seite geholfen?

Nächstes Thema:

KMS-Schlüssel rotieren

Vorheriges Thema:

Voraussetzungen

Brauchen Sie Hilfe?

Datenschutz Nutzungsbedingungen für die Website Cookie-Einstellungen

© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.