支援用於惡意軟體掃描的 Amazon EBS 磁碟區

在所有 GuardDuty 支援 EC2 惡意程式碼保護功能的 AWS 區域 地方，您都可以掃描未加密或加密的 Amazon EBS 磁碟區。您可以擁有使用其中一個AWS 受管金鑰或客戶受管金鑰加密的 Amazon EBS 磁碟區。目前，某些 AWS 區域 支援既是加密 Amazon EBS 磁碟區的方式，其他支援則只支援客戶受管金鑰。

如需尚未支援此功能的詳細資訊，請參閱 China Regions

下列清單說明 GuardDuty 使用 Amazon EBS 磁碟區是否已加密的金鑰：

• 使用未加密或加密的 Amazon EBS 磁碟區 AWS 受管金鑰 — GuardDuty 使用其自己的金鑰來加密複本 Amazon EBS 磁碟區。

  如果您的帳戶屬於不支援掃描使用 EBS 預設值加密的 Amazon EBS 磁碟區的帳戶， AWS 受管金鑰 請參閱。 AWS 區域 修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰識別碼

• 使用客戶受管金鑰加密的 Amazon EBS 磁碟區 — GuardDuty 使用相同的金鑰來加密複本 EBS 磁碟區。

EC2 的惡意程式碼保護不支援使用 productCode as 掃描 Amazon EC2 執行個體marketplace。如果針對此類 Amazon EC2 執行個體啟動惡意軟體掃描，則會略過掃描。如需詳細資訊，請參閱 惡意軟體掃描期間略過資源的原因 中的 UNSUPPORTED_PRODUCT_CODE_TYPE。

修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰識別碼

依預設，在將加密設定為true且不指定 KMS 金鑰識別碼的情況下呼叫 CreateVolumeAPI，會建立一個 Amazon EBS 磁碟區，該磁碟區會使用 EBS 加密的預設金 AWS KMS 鑰加密。但是，如果未明確提供加密金鑰，您可以叫用 ModifyEbsDefaultKmsKeyIdAPI 或使用對應的 AWS CLI 命令來修改預設金鑰。

若要修改 EBS 預設金鑰 ID，請將下列必要許可新增至 IAM 政策：ec2:modifyEbsDefaultKmsKeyId。任何您選擇加密但未指定關聯 KMS 金鑰識別碼的新建立 Amazon EBS 磁碟區，都會使用預設金鑰識別碼。使用下列其中一種方法來更新 EBS 預設金鑰識別碼：

修改 Amazon EBS 磁碟區的預設 KMS 金鑰 ID

執行以下任意一項：

• 使用 API — 您可以使用 ModifyEbsDefaultKmsKeyIdAPI。如需如何檢視磁碟區加密狀態的相關資訊，請參閱建立 Amazon EBS 磁碟區。

• 使用 AWS CLI 命令 — 下列範例會修改預設 KMS 金鑰識別碼，如果您未提供 KMS 金鑰識別碼，該識別碼將加密 Amazon EBS 磁碟區。確保將區域替換為您 AWS 區域 的 KM 密鑰 ID。

  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

  以上命令會產生與下列輸出類似的輸出：

  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }

  如需詳細資訊，請參閱 modify-ebs-default-kms-key-id。