本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
支持用于恶意软件扫描的 Amazon EBS 卷
在所有 GuardDuty 支持恶意软件保护功能 Amazon Web Services 区域 的地方,您都可以扫描未加密或加密的 Amazon EBS 卷。您可以拥有使用客户托管密钥Amazon 托管式密钥或客户托管密钥加密的 Amazon EBS 卷。目前,其中一些 Amazon Web Services 区域 支持两种方式来加密您的 Amazon EBS 卷,而另一些则仅支持客户托管密钥。
有关尚不支持此功能的更多信息,请参阅 China Regions
以下列表描述了无论您的 Amazon EBS 卷是否加密所 GuardDuty 使用的密钥:
未加密或加密的 Amazon EBS 卷 GuardDuty 使用自己的密钥对副本 Amazon EBS 卷进行加密。 Amazon 托管式密钥
当您的账户 Amazon Web Services 区域 属于不支持扫描使用默认值 Amazon 托管式密钥 EBS 加密的 Amazon EBS 卷时,请参阅。修改亚马逊 EBS 卷的默认 Amazon KMS 密钥 ID
使用@@ 客户托管密钥加密的 Amazon EBS 卷 GuardDuty 使用相同的密钥对副本 EBS 卷进行加密。
恶意软件防护不支持使用 a productCode
s 扫描 Amazon EC2 实例marketplace
。如果针对此类 Amazon EC2 实例启动了恶意软件扫描,则系统会跳过该扫描。有关更多信息,请参阅恶意软件扫描期间跳过资源的原因中的UNSUPPORTED_PRODUCT_CODE_TYPE
。
修改亚马逊 EBS 卷的默认 Amazon KMS 密钥 ID
默认情况下,在加密设置为而不指定 KMS 密钥 ID 的情况下调用 CreateVolumeAPI 会创建一个 Amazon EBS 卷,该卷使用默认 Amazon KMS 密钥进行加密,以进行 E BS 加密。true
但是,如果未明确提供加密密钥,则可以通过调用 ModifyEbsDefaultKmsKeyIdAPI 或使用相应的 Amazon CLI 命令来修改默认密钥。
要修改 EBS 默认密钥 ID,请在您的 IAM policy 中添加以下必要权限:ec2:modifyEbsDefaultKmsKeyId
。任何您选择加密但未指定关联的 KMS 密钥 ID 的新创建的 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一更新 EBS 默认密钥 ID:
修改 Amazon EBS 卷的默认 KMS 密钥 ID
请执行以下操作之一:
-
使用 API — 您可以使用 ModifyEbsDefaultKmsKeyIdAPI。有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷。
使用 Amazon CLI 命令 — 以下示例修改默认 KMS 密钥 ID,如果您不提供 KMS 密钥 ID,则该密钥将加密 Amazon EBS 卷。请务必将区域替换为您 Amazon Web Services 区域 的 KM 密钥 ID。
aws ec2 modify-ebs-default-kms-key-id --region
us-west-2
--kms-key-idAKIAIOSFODNN7EXAMPLE
上述命令将生成与下方输出类似的输出:
{ "KmsKeyId": "arn:aws:kms:
us-west-2
:444455556666
:key/AKIAIOSFODNN7EXAMPLE
" }