Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bekerja dengan enkripsi Amazon EBS
Gunakan prosedur berikut untuk bekerja dengan enkripsi Amazon EBS.
Tugas
Pilih kunci KMS untuk enkripsi EBS
Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda menyimpan AWS sumber daya. Kunci KMS ini memiliki alias alias/aws/ebs
. Secara default, Amazon EBS menggunakan kunci KMS ini untuk enkripsi. Alternatifnya, Anda dapat menentukan kunci enkripsi yang dikelola pelanggan simetris yang Anda buat sebagai kunci KMS default untuk enkripsi EBS. Penggunaan kunci KMS sendiri akan memberikan Anda fleksibilitas yang lebih baik, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan kunci KMS.
penting
Amazon EBS tidak mendukung kunci KMS enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci KMS enkripsi simetris dan asimetris di Panduan Developer AWS Key Management Service .
Aktifkan enkripsi secara default
Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instans dan snapshot yang Anda salin dari snapshot yang tidak dienkripsi. Untuk contoh transisi dari sumber daya EBS tidak terenkripsi menjadi terenkripsi, lihat Mengenkripsi sumber daya yang tidak terenkripsi.
Enkripsi secara default tidak berpengaruh pada volume atau snapshot EBS yang ada.
Pertimbangan
-
Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.
-
Enkripsi Amazon EBS secara default didukung pada semua jenis instans generasi saat ini dan generasi sebelumnya.
-
Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.
-
Saat memigrasi server menggunakan AWS Server Migration Service (SMS), jangan nyalakan enkripsi secara default. Jika enkripsi secara default sudah aktif dan Anda mengalami kegagalan replikasi delta, matikan enkripsi secara default. Sebaliknya, aktifkan enkripsi AMI saat Anda membuat tugas replikasi.
Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.
Kelola enkripsi secara default menggunakan API dan CLI
Anda dapat mengelola enkripsi secara default dan kunci KMS default menggunakan tindakan API dan perintah CLI berikut.
Tindakan API | Perintah CLI | Deskripsi |
---|---|---|
disable-ebs-encryption-by-default |
Menonaktifkan enkripsi secara default. |
|
enable-ebs-encryption-by-default |
Menonaktifkan enkripsi secara default. |
|
get-ebs-default-kms-kunci-id |
Menjelaskan kunci KMS default. |
|
get-ebs-encryption-by-default |
Menunjukkan apakah enkripsi secara default diaktifkan. |
|
modify-ebs-default-kms-kunci-id |
Mengubah kunci KMS default yang digunakan untuk mengenkripsi volume EBS. |
|
reset-ebs-default-kms-kunci-id |
Mengatur ulang Kunci yang dikelola AWS sebagai kunci KMS default yang digunakan untuk mengenkripsi volume EBS. |