Ändern der standardmäßigen KMS-Schlüssel-ID

Unterstützte Amazon EBS-Volumes für Malware-Scans

In allen Ländern, in AWS-Regionen denen die Funktion Malware Protection for EC2 GuardDuty unterstützt wird, können Sie die unverschlüsselten oder verschlüsselten Amazon EBS-Volumes scannen. Sie können Amazon EBS-Volumes verwenden, die entweder mit einem Von AWS verwalteter Schlüsseloder mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Derzeit AWS-Regionen unterstützen einige Programme beide Methoden zur Verschlüsselung Ihrer Amazon EBS-Volumes, während andere nur vom Kunden verwaltete Schlüssel unterstützen.

Weitere Informationen, wo diese Funktion noch nicht unterstützt wird, finden Sie unter China Regions

In der folgenden Liste wird der Schlüssel beschrieben, der GuardDuty verwendet, unabhängig davon, ob Ihre Amazon EBS-Volumes verschlüsselt sind oder nicht:

Amazon EBS-Volumes, die entweder unverschlüsselt oder mit verschlüsselt sind Von AWS verwalteter Schlüssel — GuardDuty verwendet einen eigenen Schlüssel, um die replizierten Amazon EBS-Volumes zu verschlüsseln.

Wenn Ihr Konto zu einem gehört AWS-Region , das das Scannen von Amazon EBS-Volumes nicht unterstützt, die mit der Standardeinstellung Von AWS verwalteter Schlüssel für EBS verschlüsselt sind, finden Sie unter. Ändern der AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes
Amazon EBS-Volumes, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind — GuardDuty verwendet denselben Schlüssel, um das replizierte EBS-Volume zu verschlüsseln.

Malware Protection for EC2 unterstützt das Scannen von Amazon EC2 EC2-Instances mit productCode as nicht. marketplace Wenn ein Malware-Scan für eine solche Amazon-EC2-Instance initiiert wird, wird der Scan übersprungen. Weitere Informationen finden Sie unter UNSUPPORTED_PRODUCT_CODE_TYPE in Gründe für das Überspringen von Ressourcen beim Malware-Scan.

Ändern der AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes

Standardmäßig wird beim Aufrufen der CreateVolumeAPI mit eingestellter Verschlüsselung true und ohne Angabe der KMS-Schlüssel-ID ein Amazon EBS-Volume erstellt, das mit dem AWS KMS Standardschlüssel für die EBS-Verschlüsselung verschlüsselt wird. Wenn ein Verschlüsselungsschlüssel jedoch nicht explizit angegeben wird, können Sie den Standardschlüssel ändern, indem Sie die ModifyEbsDefaultKmsKeyIdAPI aufrufen oder den entsprechenden Befehl verwenden. AWS CLI

Um die EBS-Standardschlüssel-ID zu ändern, fügen Sie Ihrer IAM-Richtlinie die folgende erforderliche Berechtigung hinzu: ec2:modifyEbsDefaultKmsKeyId. Jedes neu erstellte Amazon EBS-Volume, das Sie für die Verschlüsselung auswählen, aber keine zugehörige KMS-Schlüssel-ID angeben, verwendet die Standardschlüssel-ID. Verwenden Sie eine der folgenden Methoden, um die EBS-Standardschlüssel-ID zu aktualisieren:

So ändern Sie die standardmäßige KMS-Schlüssel-ID eines Amazon-EBS-Volumes

Führen Sie eine der folgenden Aktionen aus:

Verwenden einer API — Sie können die ModifyEbsDefaultKmsKeyIdAPI verwenden. Informationen darüber, wie Sie den Verschlüsselungsstatus Ihres Volumes anzeigen können, finden Sie unter Amazon EBS-Volume erstellen.
AWS CLI Befehl verwenden — Im folgenden Beispiel wird die standardmäßige KMS-Schlüssel-ID geändert, mit der Amazon EBS-Volumes verschlüsselt werden, wenn Sie keine KMS-Schlüssel-ID angeben. Achten Sie darauf, die Region durch die Ihrer AWS-Region KM-Schlüssel-ID zu ersetzen.
```
aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
```
Der obige Befehl wird eine Ausgabe erzeugen, die folgendermaßen aussieht:
```
{ 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}
```
Weitere Informationen finden Sie unter modify-ebs-default-kms-key-id.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Funktion

Anpassungen im Malware-Schutz für EC2