支持用于恶意软件扫描的 Amazon EBS 卷 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持用于恶意软件扫描的 Amazon EBS 卷

在所有 GuardDuty 支持 “恶意软件保护” EC2 功能 AWS 区域 的地方,您都可以扫描未加密或加密的 Amazon EBS 卷。您可以使用客户托管密钥AWS 托管式密钥客户托管密钥加密的 Amazon EBS 卷。目前,某些提供恶意软件防护的地区可能支持两种加密您EC2的 Amazon EBS 卷的方式,而另一些地区则仅支持客户托管密钥。

有关更多信息,请参阅 特定于区域的功能可用性

以下列表描述了无论您的 Amazon EBS 卷是否已加密所 GuardDuty 使用的密钥:

  • 未加密或加密的 Amazon EBS 卷 GuardDuty 使用自己的密钥对副本 Amazon EBS 卷进行加密。 AWS 托管式密钥

    如果您所在的地区不支持扫描默认使用亚马逊加密方式加密的 A EBS mazon EBS 卷,则需要将默认密钥修改为客户托管密钥。这将有助于 GuardDuty 访问这些EBS卷。通过修改密钥,即使是未来的EBS卷也将使用更新的密钥创建, GuardDuty 从而支持恶意软件扫描。有关修改默认密钥的步骤,请参阅修改亚马逊EBS卷的默认 AWS KMS 密钥 ID下一节中的。

  • 使用@@ 客户托管密钥加密的 Amazon EBS 卷 — GuardDuty 使用相同的密钥来加密副本EBS卷。有关支持哪些 AWS KMS 加密相关策略的信息,请参阅恶意软件防护的服务相关角色权限 EC2

修改亚马逊EBS卷的默认 AWS KMS 密钥 ID

当您使用使用亚马逊EBS加密创建亚马逊EBS卷并且不指定 AWS KMS 密钥 ID 时,您的亚马逊EBS卷将使用默认加密密钥进行加密。当您默认启用加密时,Amazon EBS 将使用您的 Amazon 加密默认KMS密钥自动EBS加密新卷和快照。

您可以修改默认加密密钥并使用客户托管密钥进行 Amazon EBS 加密。这将有助于 GuardDuty访问这些 Amazon EBS 卷。要修改EBS默认密钥 ID,请在您的IAM策略中添加以下必要权限-ec2:modifyEbsDefaultKmsKeyId。您选择加密但未指定关联KMS密钥 ID 的任何新创建的 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一更新EBS默认密钥 ID:

修改 Amazon EBS 卷的默认KMS密钥 ID

请执行以下操作之一:

  • 使用 API —您可以使用 ModifyEbsDefaultKmsKeyIdAPI. 有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷

  • 使用 AWS CLI 命令 — 以下示例修改默认KMS密钥 ID,如果您不提供密钥 ID,则该密KMS钥将加密 Amazon EBS 卷。请务必将区域替换为您 AWS 区域 的 KM 密钥 ID。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上述命令将生成与下方输出类似的输出:

    { "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }

    有关更多信息,请参阅 modify-ebs-default-kms-key-id