Volume Amazon EBS yang didukung untuk pemindaian malware - Amazon GuardDuty
Memodifikasi ID kunci KMS default

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Volume Amazon EBS yang didukung untuk pemindaian malware

Di semua Wilayah AWS tempat GuardDuty mendukung fitur Perlindungan Malware untuk EC2, Anda dapat memindai volume Amazon EBS yang tidak terenkripsi atau dienkripsi. Anda dapat memiliki volume Amazon EBS yang dienkripsi dengan salah satu Kunci yang dikelola AWSatau kunci yang dikelola pelanggan. Saat ini, beberapa Wilayah AWS mendukung kedua cara untuk mengenkripsi volume Amazon EBS Anda, sementara yang lain hanya mendukung kunci yang dikelola pelanggan.

Untuk informasi selengkapnya di mana kemampuan ini belum didukung, lihat China Regions

Daftar berikut menjelaskan kunci yang GuardDuty menggunakan apakah volume Amazon EBS Anda dienkripsi atau tidak:

  • Volume Amazon EBS yang tidak dienkripsi atau dienkripsi Kunci yang dikelola AWS- GuardDuty menggunakan kuncinya sendiri untuk mengenkripsi replika volume Amazon EBS.

    Jika akun Anda termasuk dalam akun Wilayah AWS yang tidak mendukung pemindaian volume Amazon EBS yang dienkripsi dengan default Kunci yang dikelola AWS untuk EBS, lihat. Memodifikasi ID AWS KMS kunci default dari volume Amazon EBS

  • Volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan — GuardDuty menggunakan kunci yang sama untuk mengenkripsi volume replika EBS.

Perlindungan Malware untuk EC2 tidak mendukung pemindaian instans productCode Amazon EC2 dengan as. marketplace Jika pemindaian malware dimulai untuk instans Amazon EC2 seperti itu, pemindaian akan dilewati. Untuk informasi selengkapnya, lihat UNSUPPORTED_PRODUCT_CODE_TYPE di Alasan melewatkan sumber daya selama pemindaian malware.

Memodifikasi ID AWS KMS kunci default dari volume Amazon EBS

Secara default, menjalankan CreateVolumeAPI dengan enkripsi yang disetel ke true dan tidak menentukan ID kunci KMS, membuat volume Amazon EBS yang dienkripsi dengan kunci default untuk enkripsi EBS. AWS KMS Namun, ketika kunci enkripsi tidak disediakan secara eksplisit, Anda dapat memodifikasi kunci default dengan menjalankan ModifyEbsDefaultKmsKeyIdAPI atau dengan menggunakan perintah yang sesuai. AWS CLI

Untuk mengubah ID kunci default EBS, tambahkan izin yang diperlukan berikut ke kebijakan IAM Anda —. ec2:modifyEbsDefaultKmsKeyId Setiap volume Amazon EBS yang baru dibuat yang Anda pilih untuk dienkripsi tetapi tidak menentukan ID kunci KMS terkait, akan menggunakan ID kunci default. Gunakan salah satu metode berikut untuk memperbarui ID kunci default EBS:

Untuk mengubah ID kunci KMS default dari volume Amazon EBS

Lakukan salah satu hal berikut ini:

  • Menggunakan API — Anda dapat menggunakan ModifyEbsDefaultKmsKeyIdAPI. Untuk informasi tentang cara melihat status enkripsi volume, lihat Membuat volume Amazon EBS.

  • Menggunakan AWS CLI perintah - Contoh berikut memodifikasi ID kunci KMS default yang akan mengenkripsi volume Amazon EBS jika Anda tidak memberikan ID kunci KMS. Pastikan untuk mengganti Region dengan ID kunci KM Anda. Wilayah AWS 

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    Perintah di atas akan menghasilkan output yang mirip dengan output berikut:

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}

    Untuk informasi selengkapnya, lihat modify-ebs-default-kms-key-id.