Bekerja dengan enkripsi Amazon EBS - Amazon EBS
Pilih kunci KMS untuk enkripsi EBSAktifkan enkripsi secara defaultKelola enkripsi secara default menggunakan API dan CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan enkripsi Amazon EBS

Gunakan prosedur berikut untuk bekerja dengan enkripsi Amazon EBS.

Pilih kunci KMS untuk enkripsi EBS

Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda menyimpan AWS sumber daya. Kunci KMS ini memiliki alias alias/aws/ebs. Secara default, Amazon EBS menggunakan kunci KMS ini untuk enkripsi. Alternatifnya, Anda dapat menentukan kunci enkripsi yang dikelola pelanggan simetris yang Anda buat sebagai kunci KMS default untuk enkripsi EBS. Penggunaan kunci KMS sendiri akan memberikan Anda fleksibilitas yang lebih baik, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan kunci KMS.

penting

Amazon EBS tidak mendukung kunci KMS enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan kunci KMS enkripsi simetris dan asimetris di Panduan Developer AWS Key Management Service .

Amazon EC2 console
Untuk mengonfigurasi kunci KMS default guna enkripsi EBS untuk suatu Wilayah

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih Dasbor EC2.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Pilih Kelola.

  6. Untuk Kunci enkripsi default, pilih kunci enkripsi yang dikelola pelanggan simetris.

  7. Pilih Perbarui enkripsi EBS.

Aktifkan enkripsi secara default

Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instans dan snapshot yang Anda salin dari snapshot yang tidak dienkripsi. Untuk contoh transisi dari sumber daya EBS tidak terenkripsi menjadi terenkripsi, lihat Mengenkripsi sumber daya yang tidak terenkripsi.

Enkripsi secara default tidak berpengaruh pada volume atau snapshot EBS yang ada.

Pertimbangan

  • Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.

  • Enkripsi Amazon EBS secara default didukung pada semua jenis instans generasi saat ini dan generasi sebelumnya.

  • Jika Anda menyalin snapshot dan mengenkripsinya ke kunci KMS baru, salinan lengkap (tidak inkremental) dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.

  • Saat memigrasi server menggunakan AWS Server Migration Service (SMS), jangan nyalakan enkripsi secara default. Jika enkripsi secara default sudah aktif dan Anda mengalami kegagalan replikasi delta, matikan enkripsi secara default. Sebaliknya, aktifkan enkripsi AMI saat Anda membuat tugas replikasi.

Amazon EC2 console
Untuk mengaktifkan enkripsi secara default untuk Wilayah

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih Dasbor EC2.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Pilih Kelola.

  6. Pilih Aktifkan. Anda menyimpan Kunci yang dikelola AWS dengan alias yang alias/aws/ebs dibuat atas nama Anda sebagai kunci enkripsi default, atau memilih kunci enkripsi terkelola pelanggan simetris.

  7. Pilih Perbarui enkripsi EBS.

AWS CLI
Untuk melihat pengaturan enkripsi secara default

  • Untuk Wilayah tertentu

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Untuk mengaktifkan enkripsi secara default

  • Untuk Wilayah tertentu

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Untuk menonaktifkan enkripsi secara default

  • Untuk Wilayah tertentu

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
PowerShell
Untuk melihat pengaturan enkripsi secara default

  • Untuk Wilayah tertentu

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk mengaktifkan enkripsi secara default

  • Untuk Wilayah tertentu

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk menonaktifkan enkripsi secara default

  • Untuk Wilayah tertentu

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Anda tidak dapat mengubah kunci KMS yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan kunci KMS yang berbeda selama operasi salinan snapshot sehingga snapshot salinan yang dihasilkan dienkripsi oleh kunci KMS yang baru.

Kelola enkripsi secara default menggunakan API dan CLI

Anda dapat mengelola enkripsi secara default dan kunci KMS default menggunakan tindakan API dan perintah CLI berikut.

Tindakan API Perintah CLI Deskripsi

DisableEbsEncryptionByDefault

 disable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

EnableEbsEncryptionByDefault

 enable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

GetEbsDefaultKmsKeyId

 get-ebs-default-kms-kunci-id

Menjelaskan kunci KMS default.

GetEbsEncryptionByDefault

 get-ebs-encryption-by-default

Menunjukkan apakah enkripsi secara default diaktifkan.

ModifyEbsDefaultKmsKeyId

 modify-ebs-default-kms-kunci-id

Mengubah kunci KMS default yang digunakan untuk mengenkripsi volume EBS.

ResetEbsDefaultKmsKeyId

 reset-ebs-default-kms-kunci-id

Mengatur ulang Kunci yang dikelola AWS sebagai kunci KMS default yang digunakan untuk mengenkripsi volume EBS.