Modification de l'ID de clé KMS par défaut

Volumes Amazon EBS pris en charge pour l'analyse des programmes malveillants

Dans tous les appareils compatibles Régions AWS GuardDuty avec la fonctionnalité Malware Protection for EC2, vous pouvez scanner les volumes Amazon EBS chiffrés ou non chiffrés. Vous pouvez avoir des volumes Amazon EBS chiffrés avec l'une ou l'autre clé Clé gérée par AWSou une clé gérée par le client. Actuellement, certains d'entre eux prennent en Régions AWS charge à la fois le chiffrement de vos volumes Amazon EBS, tandis que d'autres ne prennent en charge que les clés gérées par le client.

Pour plus d'informations lorsque cette fonctionnalité n'est pas encore prise en charge, voir China Regions

La liste suivante décrit la clé qui permet de GuardDuty savoir si vos volumes Amazon EBS sont chiffrés ou non :

Les volumes Amazon EBS non chiffrés ou chiffrés avec Clé gérée par AWS — GuardDuty utilisent leur propre clé pour chiffrer les répliques des volumes Amazon EBS.

Si votre compte appartient à un compte Région AWS qui ne prend pas en charge l'analyse de volumes Amazon EBS chiffrés avec la valeur par défaut Clé gérée par AWS pour EBS, consultez. Modification de l'ID de AWS KMS clé par défaut d'un volume Amazon EBS
Les volumes Amazon EBS chiffrés à l'aide d'une clé gérée par le client GuardDuty utilisent la même clé pour chiffrer le volume EBS répliqué.

Malware Protection for EC2 ne prend pas en charge l'analyse des instances productCode Amazon EC2 avec as. marketplace Si une analyse des logiciels malveillants est lancée pour une telle instance Amazon EC2, elle sera ignorée. Pour plus d'informations, consultez UNSUPPORTED_PRODUCT_CODE_TYPE dans Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.

Modification de l'ID de AWS KMS clé par défaut d'un volume Amazon EBS

Par défaut, l'appel de l'CreateVolumeAPI avec le chiffrement défini sur true sans spécifier l'ID de clé KMS crée un volume Amazon EBS chiffré avec la AWS KMS clé par défaut pour le chiffrement EBS. Toutefois, lorsqu'aucune clé de chiffrement n'est fournie explicitement, vous pouvez modifier la clé par défaut en appelant l'ModifyEbsDefaultKmsKeyIdAPI ou en utilisant la AWS CLI commande correspondante.

Pour modifier l'ID de clé EBS par défaut, ajoutez l'autorisation nécessaire suivante à votre politique IAM : ec2:modifyEbsDefaultKmsKeyId. Tout volume Amazon EBS nouvellement créé que vous choisissez de chiffrer mais que vous ne spécifiez pas d'ID de clé KMS associé utilisera l'ID de clé par défaut. Utilisez l'une des méthodes suivantes pour mettre à jour l'ID de clé par défaut d'EBS :

Pour modifier l'ID de clé KMS par défaut d'un volume Amazon EBS

Effectuez l’une des actions suivantes :

Utilisation d'une API — Vous pouvez utiliser l'ModifyEbsDefaultKmsKeyIdAPI. Pour plus d'informations sur la manière dont vous pouvez consulter l'état de chiffrement de votre volume, consultez Create Amazon EBS volume.
Utilisation de la AWS CLI commande : l'exemple suivant modifie l'ID de clé KMS par défaut qui cryptera les volumes Amazon EBS si vous ne fournissez pas d'ID de clé KMS. Assurez-vous de remplacer la région par l'identifiant Région AWS de votre clé KM.
```
aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
```
La commande ci-dessus générera une sortie similaire à la sortie suivante :
```
{ 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}
```
Pour plus d'informations, consultez modify-ebs-default-kms-key-id.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fonctionnalité

Personnalisations de la protection contre les programmes malveillants pour EC2