Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Amazon EBS-Verschlüsselung standardmäßig aktivieren Sie können Ihr AWS Konto so konfigurieren, dass die Verschlüsselung der neuen EBS-Volumes und Snapshot-Kopien, die Sie erstellen, erzwungen wird. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen. Beispiele für den Wechsel von unverschlüsselten zu verschlüsselten EBS-Ressourcen finden Sie unter [Verschlüsseln unverschlüsselter Ressourcen](ebs-encryption.md#encrypt-unencrypted). Die standardmäßige Verschlüsselung wirkt sich nicht auf vorhandene EBS-Volumes oder Snapshots aus. **Überlegungen** + Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie sie für eine Region aktivieren, kann sie nicht für einzelne Volumes oder Snapshots in dieser Region deaktiviert werden. + Die Amazon EBS-Verschlüsselung wird standardmäßig auf allen Instance-Typen der [aktuellen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) und [der vorherigen Generation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances) unterstützt. + Wenn Sie einen Snapshot kopieren und mit einem neuen KMS-Schlüssel verschlüsseln, wird eine vollständige (nicht inkrementelle) Kopie erstellt. Dies führt zu zusätzlichen Lagerkosten. ------ #### [ Console ] **So aktivieren Sie die standardmäßige Verschlüsselung für eine Region** 1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wählen Sie auf der Navigationsleiste die Region aus. 1. Wählen Sie im Navigationsbereich die Option **EC2 Dashboard** aus. 1. Wählen Sie oben rechts auf der Seite **Kontoattribute**, **Datenschutz und Sicherheit** aus. 1. **Wählen Sie im Bereich **EBS-Verschlüsselung** die Option Verwalten aus.** 1. Wählen Sie **Enable (Aktivieren)**. Sie behalten den Von AWS verwalteter Schlüssel mit dem in Ihrem Namen `aws/ebs` erstellten Alias als Standard-Verschlüsselungsschlüssel bei oder wählen einen symmetrischen, vom Kunden verwalteten Verschlüsselungsschlüssel. 1. Wählen Sie **Update EBS encryption (EBS-Verschlüsselung aktualisieren)**. ------ #### [ AWS CLI ] **Um die Standardeinstellung der Verschlüsselung anzuzeigen** Verwenden Sie den Befehl [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html). + Für eine bestimmte Region ``` aws ec2 get-ebs-encryption-by-default --region region ``` + Für alle Regionen in Ihrem Konto ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **So aktivieren Sie die Verschlüsselung  standardmäßig** Verwenden Sie den Befehl [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html). + Für eine bestimmte Region ``` aws ec2 enable-ebs-encryption-by-default --region region ``` + Für alle Regionen in Ihrem Konto ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **So deaktivieren Sie die Verschlüsselung  standardmäßig** Verwenden Sie den Befehl [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html). + Für eine bestimmte Region ``` aws ec2 disable-ebs-encryption-by-default --region region ``` + Für alle Regionen in Ihrem Konto ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **Um die Standardeinstellung der Verschlüsselung anzuzeigen** Verwenden Sie das cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html). + Für eine bestimmte Region ``` Get-EC2EbsEncryptionByDefault -Region region ``` + Für alle Regionen in Ihrem Konto ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **So aktivieren Sie die Verschlüsselung  standardmäßig** Verwenden Sie das cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html). + Für eine bestimmte Region ``` Enable-EC2EbsEncryptionByDefault -Region region ``` + Für alle Regionen in Ihrem Konto ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **So deaktivieren Sie die Verschlüsselung  standardmäßig** Verwenden Sie das cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html). + Für eine bestimmte Region ``` Disable-EC2EbsEncryptionByDefault -Region region ``` + Für alle Regionen in Ihrem Konto ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ Sie können den KMS-Schlüssel, der einem vorhandenen Snapshot oder einem verschlüsselten Volume zugeordnet ist, nicht ändern. Sie können jedoch beim Kopieren eines Snapshots einen anderen Verschlüsselung zuweisen, sodass der kopierte Snapshot anschließend mit dem neuen Verschlüsselung verschlüsselt wird.