本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
支持用于恶意软件扫描的 Amazon EBS 卷
在所有 GuardDuty 支持 “恶意软件保护” EC2 功能 AWS 区域 的地方,您都可以扫描未加密或加密的 Amazon EBS 卷。您可以使用客户托管密钥AWS 托管式密钥或客户托管密钥加密的 Amazon EBS 卷。目前,其中一些 AWS 区域 支持两种方式来加密您的Amazon EBS 卷,而另一些则仅支持客户托管密钥。
有关尚不支持此功能的更多信息,请参阅 China Regions
以下列表描述了无论您的 Amazon EBS 卷是否已加密所 GuardDuty 使用的密钥:
未加密或加密的 Amazon EBS 卷 GuardDuty 使用自己的密钥加密副本 Amazon EBS 卷。 AWS 托管式密钥
当您的账户 AWS 区域 属于不支持扫描使用默认加密的 Amazon EBS 卷的 Amazon 卷时EBS, AWS 托管式密钥 请参阅修改亚马逊EBS卷的默认 AWS KMS 密钥 ID。
使用@@ 客户托管密钥加密的 Amazon EBS 卷 — GuardDuty 使用相同的密钥来加密副本EBS卷。
的恶意软件防护EC2不支持使用 a productCode
s 扫描 Amazon EC2 实例marketplace
。如果针对这样的 Amazon EC2 实例启动了恶意软件扫描,则会跳过扫描。有关更多信息,请参阅恶意软件扫描期间跳过资源的原因中的UNSUPPORTED_PRODUCT_CODE_TYPE
。
修改亚马逊EBS卷的默认 AWS KMS 密钥 ID
默认情况下,在CreateVolumeAPI加密设置为true
而不指定KMS密钥 ID 的情况下调用,会创建一个使用默认加密密 AWS KMS 钥加密的 Amazon EBS 卷。EBS但是,如果未明确提供加密密钥,则可以通过调用ModifyEbsDefaultKmsKeyIdAPI或使用相应的 AWS CLI 命令来修改默认密钥。
要修改EBS默认密钥 ID,请在您的IAM策略中添加以下必要权限-ec2:modifyEbsDefaultKmsKeyId
。您选择加密但未指定关联KMS密钥 ID 的任何新创建的 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一更新EBS默认密钥 ID:
修改亚马逊EBS卷的默认KMS密钥 ID
请执行以下操作之一:
-
使用 API —您可以使用 ModifyEbsDefaultKmsKeyIdAPI. 有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷。
使用 AWS CLI 命令 — 以下示例修改默认KMS密钥 ID,如果您不提供密钥 ID,则该密KMS钥将加密 Amazon EBS 卷。请务必将区域替换为您 AWS 区域 的 KM 密钥 ID。
aws ec2 modify-ebs-default-kms-key-id --region
us-west-2
--kms-key-idAKIAIOSFODNN7EXAMPLE
上述命令将生成与下方输出类似的输出:
{ "KmsKeyId": "arn:aws:kms:
us-west-2
:444455556666
:key/AKIAIOSFODNN7EXAMPLE
" }有关更多信息,请参阅 modify-ebs-default-kms-key-id
。