Bekerja dengan EBS enkripsi Amazon - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan EBS enkripsi Amazon

Gunakan prosedur berikut untuk bekerja dengan EBS enkripsi Amazon.

Pilih KMS kunci untuk EBS enkripsi

Amazon EBS secara otomatis membuat unik Kunci yang dikelola AWS di setiap Wilayah tempat Anda membuat EBS sumber daya Amazon. Alias untuk KMS kuncinya adalahaws/ebs. Secara default, Amazon EBS menggunakan KMS kunci ini untuk enkripsi. Atau, Anda dapat menentukan kunci enkripsi terkelola pelanggan simetris yang Anda buat sebagai KMS kunci default untuk EBS enkripsi. Menggunakan KMS kunci Anda sendiri memberi Anda lebih banyak fleksibilitas, termasuk kemampuan untuk membuat, memutar, dan menonaktifkan KMS kunci.

penting

Amazon EBS tidak mendukung KMS kunci enkripsi asimetris. Untuk informasi selengkapnya, lihat Menggunakan KMS kunci enkripsi simetris dan asimetris di Panduan AWS Key Management Service Pengembang.

Amazon EC2 console
Untuk mengonfigurasi KMS kunci default untuk EBS enkripsi untuk Wilayah
  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih EC2Dasbor.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Di bagian EBSenkripsi, pilih Kelola.

  6. Untuk Kunci enkripsi default, pilih kunci enkripsi yang dikelola pelanggan simetris.

  7. Pilih Perbarui EBS enkripsi.

Aktifkan enkripsi secara default

Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi EBS volume baru dan salinan snapshot yang Anda buat. Misalnya, Amazon EBS mengenkripsi EBS volume yang dibuat saat Anda meluncurkan instance dan snapshot yang Anda salin dari snapshot yang tidak terenkripsi. Untuk contoh transisi dari sumber daya yang tidak terenkripsi ke sumber daya terenkripsi, lihat. EBS Mengenkripsi sumber daya yang tidak terenkripsi

Enkripsi secara default tidak berpengaruh pada EBS volume atau snapshot yang ada.

Pertimbangan
  • Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda aktifkan untuk sebuah Wilayah, Anda tidak dapat menonaktifkannya untuk volume atau snapshot individual di Wilayah tersebut.

  • EBSEnkripsi Amazon secara default didukung pada semua jenis instans generasi saat ini dan generasi sebelumnya.

  • Jika Anda menyalin snapshot dan mengenkripsinya ke KMS kunci baru, salinan lengkap (non-inkremental) akan dibuat. Hal ini menyebabkan biaya penyimpanan tambahan.

  • Saat memigrasi server menggunakan AWS Server Migration Service (SMS), jangan aktifkan enkripsi secara default. Jika enkripsi secara default sudah aktif dan Anda mengalami kegagalan replikasi delta, matikan enkripsi secara default. Sebagai gantinya, aktifkan AMI enkripsi saat Anda membuat pekerjaan replikasi.

Amazon EC2 console
Untuk mengaktifkan enkripsi secara default untuk Wilayah
  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah.

  3. Dari panel navigasi, pilih EC2Dasbor.

  4. Di sudut kanan atas halaman, pilih Atribut Akun, Perlindungan dan keamanan data.

  5. Di bagian EBSenkripsi, pilih Kelola.

  6. Pilih Aktifkan. Anda menyimpan Kunci yang dikelola AWS dengan alias yang aws/ebs dibuat atas nama Anda sebagai kunci enkripsi default, atau memilih kunci enkripsi terkelola pelanggan simetris.

  7. Pilih Perbarui EBS enkripsi.

AWS CLI
Untuk melihat pengaturan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 get-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Untuk mengaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 enable-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Untuk menonaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    $ aws ec2 disable-ebs-encryption-by-default --region region
  • Untuk semua Wilayah di akun Anda

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
PowerShell
Untuk melihat pengaturan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk mengaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Untuk menonaktifkan enkripsi secara default
  • Untuk Wilayah tertentu

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
  • Untuk semua Wilayah di akun Anda

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Anda tidak dapat mengubah KMS kunci yang terkait dengan snapshot yang ada atau volume terenkripsi. Namun, Anda dapat mengaitkan KMS kunci yang berbeda selama operasi penyalinan snapshot sehingga snapshot yang disalin yang dihasilkan dienkripsi oleh kunci baru. KMS

Kelola enkripsi secara default menggunakan API dan CLI

Anda dapat mengelola enkripsi secara default dan KMS kunci default menggunakan API tindakan dan CLI perintah berikut. Perhatikan bahwa APIs untuk Amazon EC2 dan AWS KMS merujuk ke alias untuk alias/aws/ebs sementara AWS KMS konsol menampilkan alias ini sebagai. Kunci yang dikelola AWS aws/ebs

APIaksi CLIperintah Deskripsi

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

Menonaktifkan enkripsi secara default.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-kunci-id

Menjelaskan KMS kunci default.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

Menunjukkan apakah enkripsi secara default diaktifkan.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-kunci-id

Mengubah KMS kunci default yang digunakan untuk mengenkripsi EBS volume.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-kunci-id

Mengatur ulang Kunci yang dikelola AWS sebagai KMS kunci default yang digunakan untuk mengenkripsi volumeEBS.