本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EBS 加密
請使用下列程序來使用 Amazon EBS 加密。
選取用於 EBS 加密的 KMS 金鑰
Amazon EBS 會在您存放資源的每個 AWS 受管金鑰 區域自動建立唯一的資 AWS 源。此 KMS 金鑰 具有別名 alias/aws/ebs
。根據預設,Amazon EBS 使用此 KMS 金鑰 來加密。您也可以指定您已建立的對稱客戶受管加密金鑰,做為 EBS 加密的預設 KMS 金鑰。使用您自己的 KMS 金鑰 可為您提供更多彈性,包括能夠建立、旋轉和停用 KMS 金鑰。
- Amazon EC2 console
-
對區域設定 EBS 加密的預設 KMS 金鑰
在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。
-
從導覽列中選取 Region (區域)。
-
從導覽窗格,選取 EC2 Dashboard (EC2 儀表板)。
-
在頁面右上角選擇 帳戶屬性及資料保護和安全性。
-
選擇管理。
-
對於 Default encryption key (預設加密金鑰),請選擇對稱客戶受管加密金鑰。
-
選擇 Update EBS encryption (更新 EBS 加密)。
預設啟用加密
您可以將 AWS 帳戶設定為強制對您建立的新 EBS 磁碟區和快照複本進行加密。例如,當您啟動執行個體和您從未加密快照複製的快照,Amazon EBS 會加密所建立的 EBS 磁碟區。如需從未加密轉移至已加密 EBS 資源的範例,請參閱 加密未加密的資源。
預設加密不會影響現有的 EBS 磁碟區或快照。
考量事項
-
預設加密是區域特有設定。如果您對區域啟用它,則無法對該區域中的個別磁碟區或快照停用它。
-
預設情況下,所有目前一代和上一代執行個體類型都支援 Amazon EBS 加密。
-
如果複製快照並將其加密為新的 KMS 金鑰,則會建立完整 (非增量) 複本。這會導致額外的儲存成本。
-
使用 AWS Server Migration Service (SMS) 移轉伺服器時,預設不要開啟加密。如果預設加密已啟用,而您遇到差異複寫失敗,請關閉加密。反之,當您建立複寫任務時,請啟用 AMI 加密。
- Amazon EC2 console
-
對區域啟用預設加密
在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。
-
從導覽列中選取 Region (區域)。
-
從導覽窗格,選取 EC2 Dashboard (EC2 儀表板)。
-
在頁面右上角選擇 帳戶屬性及資料保護和安全性。
-
選擇 Manage (管理)。
-
選取 Enable (啟用)。您可以保留代表您alias/aws/ebs
建立的別名做為預設加密金鑰,或選擇對稱的客戶管理加密金鑰。 AWS 受管金鑰
-
選擇 Update EBS encryption (更新 EBS 加密)。
- AWS CLI
-
依預設設定檢視加密
-
對於特定區域
$
aws ec2 get-ebs-encryption-by-default --region region
-
對於您帳戶中的所有區域
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
依預設啟用加密
-
對於特定區域
$
aws ec2 enable-ebs-encryption-by-default --region region
-
對於您帳戶中的所有區域
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
依預設停用加密
-
對於特定區域
$
aws ec2 disable-ebs-encryption-by-default --region region
-
對於您帳戶中的所有區域
$
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo "$region --- $default --- $kms_key"; done
- PowerShell
-
依預設設定檢視加密
-
對於特定區域
PS C:\>
Get-EC2EbsEncryptionByDefault -Region region
-
對於您帳戶中的所有區域
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
依預設啟用加密
-
對於特定區域
PS C:\>
Enable-EC2EbsEncryptionByDefault -Region region
-
對於您帳戶中的所有區域
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
依預設停用加密
-
對於特定區域
PS C:\>
Disable-EC2EbsEncryptionByDefault -Region region
-
對於您帳戶中的所有區域
PS C:\>
(Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize
您不能變更與現有快照或加密磁碟區相關聯的 KMS 金鑰。但是,您可以在快照複製操作中建立與不同 KMS 金鑰 的關聯,讓複製後的快照使用新的 KMS 金鑰 來加密。
預設使用 API 和 CLI 管理加密
您可以使用下列 API 動作和 CLI 命令來管理預設加密以及預設 KMS 金鑰。