Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Volume Amazon EBS yang didukung untuk pemindaian malware
Di semua Wilayah AWS tempat GuardDuty mendukung fitur Perlindungan Malware untuk EC2, Anda dapat memindai volume Amazon EBS yang tidak terenkripsi atau dienkripsi. Anda dapat memiliki volume Amazon EBS yang dienkripsi dengan salah satu Kunci yang dikelola AWSatau kunci yang dikelola pelanggan. Saat ini, beberapa Wilayah AWS mendukung kedua cara untuk mengenkripsi volume Amazon EBS Anda, sementara yang lain hanya mendukung kunci yang dikelola pelanggan.
Untuk informasi selengkapnya di mana kemampuan ini belum didukung, lihat China Regions
Daftar berikut menjelaskan kunci yang GuardDuty menggunakan apakah volume Amazon EBS Anda dienkripsi atau tidak:
Volume Amazon EBS yang tidak dienkripsi atau dienkripsi Kunci yang dikelola AWS- GuardDuty menggunakan kuncinya sendiri untuk mengenkripsi replika volume Amazon EBS.
Jika akun Anda termasuk dalam akun Wilayah AWS yang tidak mendukung pemindaian volume Amazon EBS yang dienkripsi dengan default Kunci yang dikelola AWS untuk EBS, lihat. Memodifikasi ID AWS KMS kunci default dari volume Amazon EBS
Volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan — GuardDuty menggunakan kunci yang sama untuk mengenkripsi volume replika EBS.
Perlindungan Malware untuk EC2 tidak mendukung pemindaian instans productCode
Amazon EC2 dengan as. marketplace
Jika pemindaian malware dimulai untuk instans Amazon EC2 seperti itu, pemindaian akan dilewati. Untuk informasi selengkapnya, lihat UNSUPPORTED_PRODUCT_CODE_TYPE
di Alasan melewatkan sumber daya selama pemindaian malware.
Memodifikasi ID AWS KMS kunci default dari volume Amazon EBS
Secara default, menjalankan CreateVolumeAPI dengan enkripsi yang disetel ke true
dan tidak menentukan ID kunci KMS, membuat volume Amazon EBS yang dienkripsi dengan kunci default untuk enkripsi EBS. AWS KMS Namun, ketika kunci enkripsi tidak disediakan secara eksplisit, Anda dapat memodifikasi kunci default dengan menjalankan ModifyEbsDefaultKmsKeyIdAPI atau dengan menggunakan perintah yang sesuai. AWS CLI
Untuk mengubah ID kunci default EBS, tambahkan izin yang diperlukan berikut ke kebijakan IAM Anda —. ec2:modifyEbsDefaultKmsKeyId
Setiap volume Amazon EBS yang baru dibuat yang Anda pilih untuk dienkripsi tetapi tidak menentukan ID kunci KMS terkait, akan menggunakan ID kunci default. Gunakan salah satu metode berikut untuk memperbarui ID kunci default EBS:
Untuk mengubah ID kunci KMS default dari volume Amazon EBS
Lakukan salah satu hal berikut ini:
-
Menggunakan API — Anda dapat menggunakan ModifyEbsDefaultKmsKeyIdAPI. Untuk informasi tentang cara melihat status enkripsi volume, lihat Membuat volume Amazon EBS.
Menggunakan AWS CLI perintah - Contoh berikut memodifikasi ID kunci KMS default yang akan mengenkripsi volume Amazon EBS jika Anda tidak memberikan ID kunci KMS. Pastikan untuk mengganti Region dengan ID kunci KM Anda. Wilayah AWS
aws ec2 modify-ebs-default-kms-key-id --region
us-west-2
--kms-key-idAKIAIOSFODNN7EXAMPLE
Perintah di atas akan menghasilkan output yang mirip dengan output berikut:
{ "KmsKeyId": "arn:aws:kms:
us-west-2
:444455556666
:key/AKIAIOSFODNN7EXAMPLE
" }Untuk informasi selengkapnya, lihat modify-ebs-default-kms-key-id
.