Modificar el ID de clave de KMS predeterminado

Volúmenes de Amazon EBS compatibles para el análisis de malware

En todos los Regiones de AWS lugares GuardDuty compatibles con la función Malware Protection for EC2, puede escanear los volúmenes de Amazon EBS cifrados o sin cifrar. Puede tener volúmenes de Amazon EBS cifrados con una clave gestionada por el cliente Clave administrada de AWSo con una clave. En la actualidad, algunos de ellos Regiones de AWS admiten ambas formas de cifrar los volúmenes de Amazon EBS, mientras que otros solo admiten claves administradas por el cliente.

Para obtener más información sobre los casos en los que aún no se admite esta capacidad, consulte China Regions

La siguiente lista describe la clave que se GuardDuty utiliza independientemente de que los volúmenes de Amazon EBS estén cifrados o no:

Los volúmenes de Amazon EBS que no están cifrados o cifrados con Clave administrada de AWS: GuardDuty utilizan su propia clave para cifrar las réplicas de los volúmenes de Amazon EBS.

Si su cuenta pertenece a una Región de AWS que no admite el escaneo de volúmenes de Amazon EBS que están cifrados con el valor predeterminado Clave administrada de AWS de EBS, consulte. Modificación del identificador de AWS KMS clave predeterminado de un volumen de Amazon EBS
Volúmenes de Amazon EBS cifrados con una clave administrada por el cliente: GuardDuty utilizan la misma clave para cifrar el volumen de EBS de réplica.

Malware Protection for EC2 no admite el escaneo de instancias productCode de Amazon EC2 con as. marketplace Si se inicia un análisis de malware para una instancia de Amazon EC2 de este tipo, se omitirá el análisis. Para obtener más información, consulte UNSUPPORTED_PRODUCT_CODE_TYPE en Motivos para omitir un recurso durante el análisis de malware.

Modificación del identificador de AWS KMS clave predeterminado de un volumen de Amazon EBS

De forma predeterminada, al invocar la CreateVolumeAPI con el cifrado establecido en true y sin especificar el ID de clave de KMS, se crea un volumen de Amazon EBS que se cifra con la AWS KMS clave predeterminada para el cifrado de EBS. Sin embargo, cuando no se proporciona una clave de cifrado de forma explícita, puede modificar la clave predeterminada invocando la ModifyEbsDefaultKmsKeyIdAPI o utilizando el comando correspondiente. AWS CLI

Para modificar la ID de clave predeterminada de EBS, agregue el siguiente permiso necesario a su política de IAM: ec2:modifyEbsDefaultKmsKeyId. Cualquier volumen de Amazon EBS recién creado que elija cifrar, pero que no especifique un ID de clave de KMS asociado, utilizará el ID de clave predeterminado. Utilice uno de los siguientes métodos para actualizar la ID de clave predeterminada de EBS:

Modificación de la ID de clave de KMS predeterminada de un volumen de Amazon EBS

Realice una de las siguientes acciones siguientes:

Uso de una API: puede utilizar la ModifyEbsDefaultKmsKeyIdAPI. Para obtener información sobre cómo ver el estado de cifrado de su volumen, consulte Crear un volumen de Amazon EBS.
Uso del AWS CLI comando: el siguiente ejemplo modifica el ID de clave de KMS predeterminado que cifrará los volúmenes de Amazon EBS si no proporciona un ID de clave de KMS. Asegúrese de sustituir la región por la Región de AWS de su ID de clave KM.
```
aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
```
El comando anterior generará un resultado similar al siguiente:
```
{ 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}
```
Para obtener más información, consulta modify-ebs-default-kms-key-id.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Característica

Personalizaciones de la protección contra malware para EC2