EBSVolumes Amazon pris en charge pour l'analyse des programmes malveillants

Dans tous les appareils Régions AWS compatibles GuardDuty avec la EC2 fonctionnalité Malware Protection for, vous pouvez scanner les EBS volumes Amazon chiffrés ou non chiffrés. Vous pouvez avoir des EBS volumes Amazon chiffrés à l'aide de l'une ou l'autre clé Clé gérée par AWSou d'une clé gérée par le client. À l'heure actuelle, certaines régions dans lesquelles la protection contre les programmes malveillants EC2 est disponible peuvent prendre en charge les deux méthodes de chiffrement de vos EBS volumes Amazon, tandis que d'autres ne proposent que des clés gérées par le client.

Pour de plus amples informations, veuillez consulter Disponibilité des fonctionnalités propres à la région.

La liste suivante décrit la clé qui permet GuardDuty de savoir si vos EBS volumes Amazon sont chiffrés ou non :

• Les EBS volumes Amazon non chiffrés ou chiffrés avec Clé gérée par AWS — GuardDuty utilisent leur propre clé pour chiffrer les répliques des volumes AmazonEBS.

  Si votre région ne prend pas en charge l'analyse des EBS volumes Amazon chiffrés avec le EBSchiffrement Amazon par défaut, vous devez modifier la clé par défaut pour en faire une clé gérée par le client. Cela facilitera l' GuardDuty accès à ces EBS volumes. En modifiant la clé, même les futurs EBS volumes seront créés avec la clé mise à jour afin de prendre en charge les GuardDuty analyses de logiciels malveillants. Pour les étapes à suivre pour modifier la clé par défaut, reportez-vous Modifier l'ID de AWS KMS clé par défaut d'un EBS volume Amazon à la section suivante.

• Les EBSvolumes Amazon chiffrés à l'aide d'une clé gérée par le client GuardDuty utilisent la même clé pour chiffrer le EBS volume répliqué. Pour plus d'informations sur les politiques liées au AWS KMS chiffrement prises en charge, consultezAutorisations de rôle liées à un service pour Malware Protection pour EC2.

Modifier l'ID de AWS KMS clé par défaut d'un EBS volume Amazon

Lorsque vous utilisez Create un EBS volume Amazon en utilisant le EBSchiffrement Amazon, et que vous ne spécifiez pas d'ID de AWS KMS clé, votre EBS volume Amazon est chiffré avec une clé de chiffrement par défaut. Lorsque vous activez le chiffrement par défaut, Amazon chiffre EBS automatiquement les nouveaux volumes et les nouveaux instantanés en utilisant votre KMS clé par défaut pour le chiffrement AmazonEBS.

Vous pouvez modifier la clé de chiffrement par défaut et utiliser une clé gérée par le client pour EBS le chiffrement Amazon. Cela facilitera l' GuardDutyaccès à ces EBS volumes Amazon. Pour modifier l'ID de clé EBS par défaut, ajoutez l'autorisation nécessaire suivante à votre IAM politique —ec2:modifyEbsDefaultKmsKeyId. Tout EBS volume Amazon nouvellement créé que vous choisissez de chiffrer mais que vous ne spécifiez pas d'identifiant de KMS clé associé utilisera l'ID de clé par défaut. Utilisez l'une des méthodes suivantes pour mettre à jour l'ID de clé EBS par défaut :

Pour modifier l'ID de KMS clé par défaut d'un EBS volume Amazon

Effectuez l’une des actions suivantes :

• À l'aide d'un API — Vous pouvez utiliser le ModifyEbsDefaultKmsKeyIdAPI. Pour plus d'informations sur la manière dont vous pouvez consulter l'état de chiffrement de votre volume, consultez Create Amazon EBS volume.

• Utilisation de la AWS CLI commande — L'exemple suivant modifie l'ID de KMS clé par défaut qui cryptera les EBS volumes Amazon si vous ne fournissez pas d'ID de KMS clé. Assurez-vous de remplacer la région par l'identifiant Région AWS de votre clé KM.

  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

  La commande ci-dessus générera une sortie similaire à la sortie suivante :

  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }

  Pour plus d'informations, consultez modify-ebs-default-kms-key-id.