Abilita la EBS crittografia Amazon per impostazione predefinita - Amazon EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita la EBS crittografia Amazon per impostazione predefinita

Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi EBS volumi e delle copie istantanee che crei. Ad esempio, Amazon EBS crittografa i EBS volumi creati all'avvio di un'istanza e gli snapshot che copi da uno snapshot non crittografato. Per esempi di transizione da risorse non crittografate a risorse crittografate, consulta. EBS Crittografia delle risorse non crittografate

La crittografia predefinita non ha alcun effetto sui EBS volumi o sulle istantanee esistenti.

Considerazioni

  • La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.

  • EBSLa crittografia Amazon per impostazione predefinita è supportata su tutti i tipi di istanze della generazione attuale e precedente.

  • Se copi uno snapshot e lo crittografi su una nuova KMS chiave, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.

  • Durante la migrazione dei server utilizzando AWS Server Migration Service (SMS), non attivate la crittografia per impostazione predefinita. Se la crittografia per impostazione predefinita è già attiva e rilevi errori di replica delta, disattivala. Al contrario, abilitate AMI la crittografia quando create il processo di replica.

Amazon EC2 console
Per abilitare la crittografia predefinita per una regione

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dalla barra di navigazione, selezionare la regione.

  3. Dal pannello di navigazione, seleziona EC2Dashboard.

  4. Nell'angolo in alto a destra della pagina, scegli Attributi dell'account, Zone.

  5. Nella sezione di EBScrittografia, scegli Gestisci.

  6. Selezionare Enable (Abilita). Mantieni Chiave gestita da AWS l'alias aws/ebs creato per tuo conto come chiave di crittografia predefinita oppure scegli una chiave di crittografia simmetrica gestita dal cliente.

  7. Scegli Aggiorna crittografia. EBS

AWS CLI
Per visualizzare l'impostazione della crittografia predefinita

  • Per una regione specifica

    $ aws ec2 get-ebs-encryption-by-default --region region

  • Per tutte le regioni del tuo account

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Per abilitare la crittografia predefinita

  • Per una regione specifica

    $ aws ec2 enable-ebs-encryption-by-default --region region

  • Per tutte le regioni del tuo account

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
Per disabilitare la crittografia predefinita

  • Per una regione specifica

    $ aws ec2 disable-ebs-encryption-by-default --region region

  • Per tutte le regioni del tuo account

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do   default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region  --- $default  --- $kms_key"; done
PowerShell
Per visualizzare l'impostazione della crittografia predefinita

  • Per una regione specifica

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region

  • Per tutte le regioni del tuo account

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Per abilitare la crittografia predefinita

  • Per una regione specifica

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

  • Per tutte le regioni del tuo account

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
Per disabilitare la crittografia predefinita

  • Per una regione specifica

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

  • Per tutte le regioni del tuo account

    PS C:\> (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize

Non è possibile modificare la KMS chiave associata a un'istantanea o a un volume crittografato esistente. Tuttavia, è possibile associare una KMS chiave diversa durante un'operazione di copia di un'istantanea in modo che l'istantanea copiata risultante venga crittografata dalla nuova chiave. KMS