支持用于恶意软件扫描的 Amazon EBS 卷

在所有 GuardDuty 支持 “恶意软件保护” EC2 功能 AWS 区域 的地方，您都可以扫描未加密或加密的 Amazon EBS 卷。您可以使用客户托管密钥AWS 托管式密钥或客户托管密钥加密的 Amazon EBS 卷。目前，其中一些 AWS 区域 支持两种方式来加密您的Amazon EBS 卷，而另一些则仅支持客户托管密钥。

有关尚不支持此功能的更多信息，请参阅 China Regions

以下列表描述了无论您的 Amazon EBS 卷是否已加密所 GuardDuty 使用的密钥：

• 未加密或加密的 Amazon EBS 卷 GuardDuty 使用自己的密钥加密副本 Amazon EBS 卷。 AWS 托管式密钥

  当您的账户 AWS 区域 属于不支持扫描使用默认加密的 Amazon EBS 卷的 Amazon 卷时EBS， AWS 托管式密钥 请参阅修改亚马逊EBS卷的默认 AWS KMS 密钥 ID。

• 使用@@ 客户托管密钥加密的 Amazon EBS 卷 — GuardDuty 使用相同的密钥来加密副本EBS卷。

的恶意软件防护EC2不支持使用 a productCode s 扫描 Amazon EC2 实例marketplace。如果针对这样的 Amazon EC2 实例启动了恶意软件扫描，则会跳过扫描。有关更多信息，请参阅恶意软件扫描期间跳过资源的原因中的UNSUPPORTED_PRODUCT_CODE_TYPE。

修改亚马逊EBS卷的默认 AWS KMS 密钥 ID

默认情况下，在CreateVolumeAPI加密设置为true而不指定KMS密钥 ID 的情况下调用，会创建一个使用默认加密密 AWS KMS 钥加密的 Amazon EBS 卷。EBS但是，如果未明确提供加密密钥，则可以通过调用ModifyEbsDefaultKmsKeyIdAPI或使用相应的 AWS CLI 命令来修改默认密钥。

要修改EBS默认密钥 ID，请在您的IAM策略中添加以下必要权限-ec2:modifyEbsDefaultKmsKeyId。您选择加密但未指定关联KMS密钥 ID 的任何新创建的 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一更新EBS默认密钥 ID：

修改亚马逊EBS卷的默认KMS密钥 ID

请执行以下操作之一：

• 使用 API —您可以使用 ModifyEbsDefaultKmsKeyIdAPI. 有关如何查看卷加密状态的信息，请参阅创建 Amazon EBS 卷。

• 使用 AWS CLI 命令 — 以下示例修改默认KMS密钥 ID，如果您不提供密钥 ID，则该密KMS钥将加密 Amazon EBS 卷。请务必将区域替换为您 AWS 区域 的 KM 密钥 ID。

  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

  上述命令将生成与下方输出类似的输出：

  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }

  有关更多信息，请参阅 modify-ebs-default-kms-key-id。