Abilita la crittografia Amazon EBS per impostazione predefinita

Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi volumi EBS e delle copie istantanee che crei. Ad esempio, Amazon EBS esegue la crittografia dei volumi EBS creati all'avvio di un'istanza e delle snapshot copiate a partire da uno snapshot non crittografato. Per esempi di transizione da risorse EBS non crittografate a crittografate, consulta Crittografia delle risorse non crittografate.

La crittografia per impostazione predefinita non ha alcun effetto sui volumi EBS o sugli snapshot esistenti.

Considerazioni

• La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.

• La crittografia Amazon EBS per impostazione predefinita è supportata su tutti i tipi di istanze di generazione attuale e precedente.

• Se si copia uno snapshot e lo si crittografa in una nuova chiave KMS, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.

• Quando esegui la migrazione dei server tramite AWS Server Migration Service (SMS), non attivare la crittografia per impostazione predefinita. Se la crittografia per impostazione predefinita è già attiva e rilevi errori di replica delta, disattivala. Abilita invece la crittografia AMI quando crei il processo di replica.

Amazon EC2 console

Per abilitare la crittografia predefinita per una regione

1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

2. Dalla barra di navigazione, selezionare la regione.

3. Dal pannello di navigazione, seleziona EC2 Dashboard.

4. Nell'angolo in alto a destra della pagina, scegli Attributi dell'account, Zone.

5. Nella sezione Crittografia EBS, scegli Gestisci.

6. Selezionare Enable (Abilita). Mantieni Chiave gestita da AWS l'alias aws/ebs creato per tuo conto come chiave di crittografia predefinita oppure scegli una chiave di crittografia simmetrica gestita dal cliente.

7. Scegli Update EBS encryption (Aggiorna la crittografia EBS).

AWS CLI

Per visualizzare l'impostazione della crittografia predefinita

• Per una regione specifica

  $ aws ec2 get-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
  do
      default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done

Per abilitare la crittografia predefinita

• Per una regione specifica

  $ aws ec2 enable-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done

Per disabilitare la crittografia predefinita

• Per una regione specifica

  $ aws ec2 disable-ebs-encryption-by-default --region region

• Per tutte le regioni del tuo account

  $ echo -e "Region      \t Encrypt \t Key"; \
  echo -e "----------- \t ------- \t -------" ; \
  for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); 
  do
      default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); 
      kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); 
      echo -e "$region \t $default \t\t $kms_key"; 
  done

PowerShell

Per visualizzare l'impostazione della crittografia predefinita

• Per una regione specifica

  PS C:\> Get-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName |`
      ForEach-Object {
      [PSCustomObject]@{ 
          Region                    = $_; 
          EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; 
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } |`
      Format-Table -AutoSize

Per abilitare la crittografia predefinita

• Per una regione specifica

  PS C:\> Enable-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName |`
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_; 
          EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } | `
      Format-Table -AutoSize

Per disabilitare la crittografia predefinita

• Per una regione specifica

  PS C:\> Disable-EC2EbsEncryptionByDefault -Region region

• Per tutte le regioni del tuo account

  PS C:\> (Get-EC2Region).RegionName |`
      ForEach-Object { 
      [PSCustomObject]@{
          Region                    = $_; 
          EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; 
          EC2EbsDefaultKmsKeyId     = Get-EC2EbsDefaultKmsKeyId -Region $_ 
      } } | `
      Format-Table -AutoSize

Non è possibile modificare la Chiave KMS associata a un volume crittografato o a uno snapshot esistente. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.