本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
默认启用 Amazon EBS 加密
您可以将您的 Amazon 账户配置为对您创建的新EBS卷和快照副本强制加密。例如,Amazon EBS 会加密您启动实例时创建的EBS卷以及您从未加密的快照中复制的快照。有关从未加密资源过渡到加密EBS资源的示例,请参阅。加密未加密的资源
默认情况下,加密对现有EBS卷或快照没有影响。
注意事项
- Amazon EC2 console
-
默认为某个区域启用加密
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
从导航栏中选择区域。
-
在导航窗格中,选择EC2控制面板。
-
在页面的右上角,选择账户属性,然后选择数据保护和安全。
-
在EBS加密部分中,选择管理。
-
选择 启用。您可以保留 Amazon 托管式密钥 使用代表您
aws/ebs
创建的别名作为默认加密密钥,或者选择对称的客户托管加密密钥。 -
选择 “更新EBS加密”。
- Amazon CLI
-
查看默认设置的加密
-
对于特定区域
$
aws ec2 get-ebs-encryption-by-default --regionregion
-
对于您账户中的所有区域
$
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
默认启用加密
-
对于特定区域
$
aws ec2 enable-ebs-encryption-by-default --regionregion
-
对于您账户中的所有区域
$
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
默认禁用加密
-
对于特定区域
$
aws ec2 disable-ebs-encryption-by-default --regionregion
-
对于您账户中的所有区域
$
echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done
-
- PowerShell
-
查看默认设置的加密
-
对于特定区域
PS C:\>
Get-EC2EbsEncryptionByDefault -Regionregion
-
对于您账户中的所有区域
PS C:\>
(Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } |` Format-Table -AutoSize
默认启用加密
-
对于特定区域
PS C:\>
Enable-EC2EbsEncryptionByDefault -Regionregion
-
对于您账户中的所有区域
PS C:\>
(Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | ` Format-Table -AutoSize
默认禁用加密
-
对于特定区域
PS C:\>
Disable-EC2EbsEncryptionByDefault -Regionregion
-
对于您账户中的所有区域
PS C:\>
(Get-EC2Region).RegionName |` ForEach-Object { [PSCustomObject]@{ Region = $_; EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_; EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | ` Format-Table -AutoSize
-
您无法更改与现有快照或加密卷关联的密KMS钥。但是,您可以在快照复制操作期间关联不同的KMS密钥,这样生成的复制快照就会被新KMS密钥加密。
要求
旋转KMS按键