Modifica dell'ID della chiave KMS predefinita

Volumi Amazon EBS supportati per la scansione di malware

Ovunque sia GuardDuty supportata la Regioni AWS funzionalità Malware Protection for EC2, puoi scansionare i volumi Amazon EBS non crittografati o crittografati. Puoi avere volumi Amazon EBS crittografati con una delle due chiavi Chiave gestita da AWSo con una chiave gestita dal cliente. Attualmente, alcuni Regioni AWS supportano entrambi i modi di crittografare i volumi Amazon EBS, mentre altri supportano solo chiavi gestite dal cliente.

Per ulteriori informazioni sui casi in cui questa funzionalità non è ancora supportata, consulta China Regions

L'elenco seguente descrive la chiave che GuardDuty utilizza indipendentemente dal fatto che i volumi Amazon EBS siano crittografati o meno:

Volumi Amazon EBS non crittografati o crittografati con Chiave gestita da AWS: GuardDuty utilizza la propria chiave per crittografare i volumi Amazon EBS di replica.

Se il tuo account appartiene a una società Regione AWS che non supporta la scansione di volumi Amazon EBS crittografati con l'impostazione predefinita Chiave gestita da AWS per EBS, consulta. Modifica dell'ID AWS KMS chiave predefinito di un volume Amazon EBS
Volumi Amazon EBS crittografati con chiave gestita dal cliente: GuardDuty utilizza la stessa chiave per crittografare il volume EBS di replica.

Malware Protection for EC2 non supporta la scansione delle istanze productCode Amazon EC2 con as. marketplace Se viene avviata una scansione malware per tali istanze Amazon EC2, la scansione verrà ignorata. Per ulteriori informazioni, consulta UNSUPPORTED_PRODUCT_CODE_TYPE in Motivi per cui una risorsa viene ignorata durante la scansione malware.

Modifica dell'ID AWS KMS chiave predefinito di un volume Amazon EBS

Per impostazione predefinita, richiamando l'CreateVolumeAPI con crittografia impostata true e non specificando l'ID della chiave KMS, viene creato un volume Amazon EBS che viene crittografato con la AWS KMS chiave predefinita per la crittografia EBS. Tuttavia, quando una chiave di crittografia non viene fornita in modo esplicito, puoi modificare la chiave predefinita richiamando l'ModifyEbsDefaultKmsKeyIdAPI o utilizzando il comando corrispondente. AWS CLI

Per modificare l'ID predefinito della chiave EBS, aggiungi la seguente autorizzazione necessaria alla tua policy IAM: ec2:modifyEbsDefaultKmsKeyId. Qualsiasi volume Amazon EBS appena creato che scegli di crittografare ma che non specifica un ID chiave KMS associato, utilizzerà l'ID chiave predefinito. Utilizza uno dei seguenti metodi per aggiornare l'ID della chiave predefinita EBS:

Per modificare l'ID predefinito della chiave KMS di un volume Amazon EBS

Esegui una di queste operazioni:

Utilizzo di un'API: puoi utilizzare l'ModifyEbsDefaultKmsKeyIdAPI. Per informazioni su come visualizzare lo stato di crittografia del volume, consulta Create Amazon EBS volume.
Utilizzo del AWS CLI comando: l'esempio seguente modifica l'ID chiave KMS predefinito che crittograferà i volumi Amazon EBS se non fornisci un ID chiave KMS. Assicurati di sostituire la regione con l'ID Regione AWS della tua chiave KM.
```
aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
```
Il comando precedente genererà un output simile al seguente:
```
{ 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}
```
Per ulteriori informazioni, vedi modify-ebs-default-kms-key-id.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzionalità

Personalizzazioni in Malware Protection for EC2