Volumes do Amazon EBS compatíveis para verificação de malware - Amazon GuardDuty
Modificando o ID da chave KMS padrão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Volumes do Amazon EBS compatíveis para verificação de malware

Em todos os Regiões da AWS locais onde há GuardDuty suporte ao recurso Malware Protection for EC2, você pode escanear os volumes do Amazon EBS que não estão criptografados ou não estão criptografados. Você pode ter volumes do Amazon EBS criptografados com uma Chave gerenciada pela AWSou com a chave gerenciada pelo cliente. Atualmente, alguns Regiões da AWS oferecem suporte às duas formas de criptografar seus volumes do Amazon EBS, enquanto outros oferecem suporte apenas à chave gerenciada pelo cliente.

Para obter mais informações em que esse recurso ainda não é suportado, consulte China Regions

A lista a seguir descreve a chave que GuardDuty usa se seus volumes do Amazon EBS estão criptografados ou não:

  • Volumes do Amazon EBS que não são criptografados ou criptografados com Chave gerenciada pela AWS — GuardDuty usam sua própria chave para criptografar os volumes de réplica do Amazon EBS.

    Quando sua conta pertence a uma Região da AWS que não suporta a digitalização de volumes do Amazon EBS que são criptografados com o padrão Chave gerenciada pela AWS para o EBS, consulte. Modificando o ID da AWS KMS chave padrão de um volume do Amazon EBS

  • Volumes do Amazon EBS que são criptografados com chave gerenciada pelo cliente — GuardDuty usam a mesma chave para criptografar o volume de réplica do EBS.

O Malware Protection for EC2 não suporta a verificação de instâncias productCode do Amazon EC2 com as. marketplace Se uma verificação de malware for iniciada para essa instância do Amazon EC2, a verificação será ignorada. Para obter mais informações, consulte UNSUPPORTED_PRODUCT_CODE_TYPE em Razões para ignorar o recurso durante a verificação de malware.

Modificando o ID da AWS KMS chave padrão de um volume do Amazon EBS

Por padrão, invocar a CreateVolumeAPI com criptografia definida como true e não especificar o ID da chave KMS cria um volume Amazon EBS que é criptografado com a AWS KMS chave padrão para criptografia do EBS. No entanto, quando uma chave de criptografia não é fornecida explicitamente, você pode modificar a chave padrão invocando a ModifyEbsDefaultKmsKeyIdAPI ou usando o comando correspondente AWS CLI .

Para modificar o ID da chave padrão do EBS, adicione a seguinte permissão necessária à sua política do IAM: ec2:modifyEbsDefaultKmsKeyId. Qualquer volume recém-criado do Amazon EBS que você escolher para ser criptografado, mas não especificar uma ID de chave KMS associada, usará a ID de chave padrão. Use um dos métodos a seguir para atualizar a ID da chave padrão do EBS:

Para modificar o ID da chave do KMS padrão de um volume do Amazon EBS

Execute um destes procedimentos:

  • Usando uma API — Você pode usar a ModifyEbsDefaultKmsKeyIdAPI. Para obter informações sobre como você pode visualizar o status de criptografia do seu volume, consulte Criar volume do Amazon EBS.

  • Usando o AWS CLI comando — O exemplo a seguir modifica a ID da chave KMS padrão que criptografará os volumes do Amazon EBS se você não fornecer uma ID da chave KMS. Certifique-se de substituir a região pelo ID Região da AWS da sua chave KM.

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    O comando acima gerará uma saída semelhante à seguinte saída:

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}

    Para obter mais informações, consulte modify-ebs-default-kms-key-id.