Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bekerja dengan EBS enkripsi Amazon
Gunakan prosedur berikut untuk bekerja dengan EBS enkripsi Amazon.
Tugas
Pilih KMS kunci untuk EBS enkripsi
Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda membuat EBS sumber daya Amazon. Alias untuk KMS kuncinya adalahaws/ebs
. Secara default, Amazon EBS menggunakan KMS kunci ini untuk enkripsi. Atau, Anda dapat menentukan kunci enkripsi terkelola pelanggan simetris yang Anda buat sebagai KMS kunci default untuk EBS enkripsi. Menggunakan KMS kunci Anda sendiri memberi Anda lebih banyak fleksibilitas, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan KMS kunci.
penting
Amazon EBS tidak mendukung KMS kunci enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan KMS kunci enkripsi simetris dan asimetris di Panduan AWS Key Management Service Pengembang.
Aktifkan enkripsi secara default
Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi EBS volume baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi EBS volume yang dibuat saat Anda meluncurkan instance dan snapshot yang Anda salin dari snapshot yang tidak terenkripsi. Untuk contoh transisi dari sumber daya yang tidak terenkripsi ke sumber daya terenkripsi, lihat. EBS Mengenkripsi sumber daya yang tidak terenkripsi
Enkripsi secara default tidak berpengaruh pada EBS volume atau snapshot yang ada.
Pertimbangan
-
Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.
-
EBSEnkripsi Amazon secara default didukung pada semua jenis instans generasi saat ini dan generasi sebelumnya.
-
Jika Anda menyalin snapshot dan mengenkripsinya ke KMS kunci baru, salinan lengkap (non-inkremental) akan dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.
-
Saat memigrasi server menggunakan AWS Server Migration Service (SMS), jangan aktifkan enkripsi secara default. Jika enkripsi secara default sudah aktif dan Anda mengalami kegagalan replikasi delta, matikan enkripsi secara default. Sebagai gantinya, aktifkan AMI enkripsi saat Anda membuat pekerjaan replikasi.
Anda tidak dapat mengubah KMS kunci yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan KMS kunci yang berbeda selama operasi penyalinan snapshot sehingga snapshot yang disalin yang dihasilkan dienkripsi oleh kunci baru. KMS
Kelola enkripsi secara default menggunakan API dan CLI
Anda dapat mengelola enkripsi secara default dan KMS kunci default menggunakan API tindakan dan CLI perintah berikut. Perhatikan bahwa APIs untuk Amazon EC2 dan AWS KMS merujuk ke alias untuk alias/aws/ebs
sementara AWS KMS konsol menampilkan alias ini sebagai. Kunci yang dikelola AWS aws/ebs
APIaksi | CLIperintah | Deskripsi |
---|---|---|
disable-ebs-encryption-by-default |
Menonaktifkan enkripsi secara default. |
|
enable-ebs-encryption-by-default |
Menonaktifkan enkripsi secara default. |
|
get-ebs-default-kms-kunci-id |
Menjelaskan KMS kunci default. |
|
get-ebs-encryption-by-default |
Menunjukkan apakah enkripsi secara default diaktifkan. |
|
modify-ebs-default-kms-kunci-id |
Mengubah KMS kunci default yang digunakan untuk mengenkripsi EBS volume. |
|
reset-ebs-default-kms-kunci-id |
Mengatur ulang Kunci yang dikelola AWS sebagai KMS kunci default yang digunakan untuk mengenkripsi volumeEBS. |