Unterstützte Amazon EBS-Volumes für Malware-Scans

In allen Ländern, in AWS-Regionen denen die EC2 Funktion „Malware-Schutz für“ GuardDuty unterstützt wird, können Sie die unverschlüsselten oder verschlüsselten Amazon EBS-Volumes scannen. Sie können Amazon EBS-Volumes verwenden, die entweder mit einem Von AWS verwalteter Schlüsseloder mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Derzeit unterstützen einige Regionen, für die Malware Protection verfügbar EC2 ist, möglicherweise beide Methoden zur Verschlüsselung Ihrer Amazon EBS-Volumes, während andere nur vom Kunden verwaltete Schlüssel unterstützen.

Weitere Informationen finden Sie unter Verfügbarkeit regionsspezifischer Feature.

In der folgenden Liste wird der Schlüssel beschrieben, der GuardDuty verwendet, unabhängig davon, ob Ihre Amazon EBS-Volumes verschlüsselt sind oder nicht:

• Amazon EBS-Volumes, die entweder unverschlüsselt oder mit verschlüsselt sind Von AWS verwalteter Schlüssel — GuardDuty verwendet einen eigenen Schlüssel, um die replizierten Amazon EBS-Volumes zu verschlüsseln.

  Wenn Ihre Region das Scannen von Amazon EBS-Volumes, die standardmäßig mit Amazon EBS-Verschlüsselung verschlüsselt sind, nicht unterstützt, müssen Sie den Standardschlüssel so ändern, dass er ein vom Kunden verwalteter Schlüssel ist. Dies hilft beim GuardDuty Zugriff auf diese EBS-Volumes. Durch die Änderung des Schlüssels werden auch future EBS-Volumes mit dem aktualisierten Schlüssel erstellt, sodass Malware-Scans unterstützt werden GuardDuty können. Schritte zum Ändern des Standardschlüssels finden Sie Ändern Sie die AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes im nächsten Abschnitt.

• Amazon EBS-Volumes, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind — GuardDuty verwendet denselben Schlüssel, um das replizierte EBS-Volume zu verschlüsseln. Informationen darüber, welche AWS KMS Verschlüsselungsrichtlinien unterstützt werden, finden Sie unter. Mit dem Dienst verknüpfte Rollenberechtigungen für Malware Protection für EC2

Ändern Sie die AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes

Wenn Sie „Ein Amazon EBS-Volume mithilfe der Amazon EBS-Verschlüsselung erstellen“ verwenden und keine AWS KMS Schlüssel-ID angeben, wird Ihr Amazon EBS-Volume mit einem Standardschlüssel für die Verschlüsselung verschlüsselt. Wenn Sie die Verschlüsselung standardmäßig aktivieren, verschlüsselt Amazon EBS automatisch neue Volumes und Snapshots mithilfe Ihres Standard-KMS-Schlüssels für die Amazon EBS-Verschlüsselung.

Sie können den Standard-Verschlüsselungsschlüssel ändern und einen vom Kunden verwalteten Schlüssel für die Amazon EBS-Verschlüsselung verwenden. Dies wird den GuardDuty Zugriff auf diese Amazon EBS-Volumes erleichtern. Um die EBS-Standardschlüssel-ID zu ändern, fügen Sie Ihrer IAM-Richtlinie die folgende erforderliche Berechtigung hinzu: ec2:modifyEbsDefaultKmsKeyId. Jedes neu erstellte Amazon EBS-Volume, das Sie für die Verschlüsselung auswählen, aber keine zugehörige KMS-Schlüssel-ID angeben, verwendet die Standardschlüssel-ID. Verwenden Sie eine der folgenden Methoden, um die EBS-Standardschlüssel-ID zu aktualisieren:

So ändern Sie die standardmäßige KMS-Schlüssel-ID eines Amazon-EBS-Volumes

Führen Sie eine der folgenden Aktionen aus:

• Verwenden einer API — Sie können die ModifyEbsDefaultKmsKeyIdAPI verwenden. Informationen darüber, wie Sie den Verschlüsselungsstatus Ihres Volumes anzeigen können, finden Sie unter Amazon EBS-Volume erstellen.

• AWS CLI Befehl verwenden — Im folgenden Beispiel wird die standardmäßige KMS-Schlüssel-ID geändert, mit der Amazon EBS-Volumes verschlüsselt werden, wenn Sie keine KMS-Schlüssel-ID angeben. Achten Sie darauf, die Region durch die Ihrer AWS-Region KM-Schlüssel-ID zu ersetzen.

  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

  Der obige Befehl wird eine Ausgabe erzeugen, die folgendermaßen aussieht:

  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }

  Weitere Informationen finden Sie unter modify-ebs-default-kms-key-id.