Ative a EBS criptografia da Amazon por padrão - Amazon EBS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ative a EBS criptografia da Amazon por padrão

Você pode configurar sua AWS conta para impor a criptografia dos novos EBS volumes e cópias instantâneas que você criar. Por exemplo, a Amazon EBS criptografa os EBS volumes criados quando você executa uma instância e os snapshots que você copia de um snapshot não criptografado. Para exemplos de transição de recursos não criptografados para EBS recursos criptografados, consulte. Criptografar recursos não criptografados

A criptografia, por padrão, não tem efeito nos EBS volumes ou instantâneos existentes.

Considerações
  • A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.

  • Por padrão, a EBS criptografia da Amazon é suportada em todos os tipos de instância da geração atual e da geração anterior.

  • Se você copiar um snapshot e criptografá-lo em uma nova KMS chave, uma cópia completa (não incremental) será criada. Isso resulta em custos adicionais de armazenamento.

  • Ao migrar servidores usando AWS Server Migration Service (SMS), não ative a criptografia por padrão. Se a criptografia por padrão já estiver ativada, e você estiver enfrentando falhas de replicação delta, desative a criptografia por padrão. Em vez disso, ative a AMI criptografia ao criar a tarefa de replicação.

Amazon EC2 console
Para ativar a criptografia por padrão para uma região
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione a região.

  3. No painel de navegação, selecione EC2Painel.

  4. No canto superior direito da página, escolha Atributos da conta, Proteção de dados e segurança.

  5. Na seção EBSde criptografia, escolha Gerenciar.

  6. Selecione Enable (Habilitar). Você mantém o Chave gerenciada pela AWS com o alias aws/ebs criado em seu nome como a chave de criptografia padrão ou escolhe uma chave de criptografia simétrica gerenciada pelo cliente.

  7. Escolha Atualizar EBS criptografia.

AWS CLI
Para visualizar a criptografia por configuração padrão
  • Para uma região específica

    $ aws ec2 get-ebs-encryption-by-default --region region
  • Para todas as regiões em sua conta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Para habilitar a criptografia por padrão
  • Para uma região específica

    $ aws ec2 enable-ebs-encryption-by-default --region region
  • Para todas as regiões em sua conta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
Para desabilitar a criptografia por padrão
  • Para uma região específica

    $ aws ec2 disable-ebs-encryption-by-default --region region
  • Para todas as regiões em sua conta

    $ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
PowerShell
Para visualizar a criptografia por configuração padrão
  • Para uma região específica

    PS C:\> Get-EC2EbsEncryptionByDefault -Region region
  • Para todas as regiões em sua conta

    PS C:\> (Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } |` Format-Table -AutoSize
Para habilitar a criptografia por padrão
  • Para uma região específica

    PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
  • Para todas as regiões em sua conta

    PS C:\> (Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | ` Format-Table -AutoSize
Para desabilitar a criptografia por padrão
  • Para uma região específica

    PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
  • Para todas as regiões em sua conta

    PS C:\> (Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | ` Format-Table -AutoSize

Você não pode alterar a KMS chave associada a um snapshot ou volume criptografado existente. No entanto, você pode associar uma KMS chave diferente durante uma operação de cópia do instantâneo para que o instantâneo copiado resultante seja criptografado pela nova chave. KMS