恶意软件扫描支持的 Amazon EBS 卷 - Amazon GuardDuty
修改默认 KMS 密钥 ID
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件扫描支持的 Amazon EBS 卷

在 GuardDuty 支持恶意软件防护 EC2 功能的所有,您都可以扫描未加密或加密的 Amazon EBS 卷。 Amazon Web Services 区域 您可能拥有使用 Amazon 托管式密钥客户自主管理型密钥加密的 Amazon EBS 卷。目前,某些支持恶意软件防护的区域可能同时支持这两种加密 Amazon EBS 卷的方式,而其他区域则可能仅支持客户自主管理型密钥。 EC2 有关受支持区域的信息,请参阅和GuardDuty 服务账号由 Amazon Web Services 区域。有关可用但未提供恶意软件防护的 EC2 区域的信息,请参阅特定于区域的特征可用性。 GuardDuty

以下列表说明了无论您的 GuardDuty Amazon EBS 卷是否已加密:

  • 未加密或使用加密的 Amazon EBS 卷: GuardDuty 使用自己的密钥来加密副本 Amazon EBS 卷。 Amazon 托管式密钥

    如果您所在区域不支持扫描使用默认 Amazon EBS 加密的 Amazon EBS 卷,则需要将默认密钥修改为客户自主管理型密钥。这将有助于 GuardDuty 访问这些 EBS 卷。修改密钥后,即使是未来的 EBS 卷也将使用更新后的密钥创建, GuardDuty 从而支持恶意软件扫描。有关修改默认密钥的步骤,请参阅下一节中的修改 Amazon EBS 卷的默认 Amazon KMS 密钥 ID

  • 使用@@ 客户自主管理型密钥加密的 Amazon EBS 卷 — 会 GuardDuty 使用相同的密钥加密副本 EBS 卷。有关支持哪些 Amazon KMS 加密相关策略的信息,请参阅的恶意软件防护的服务相关角色权限 EC2

修改 Amazon EBS 卷的默认 Amazon KMS 密钥 ID

当您创建使用 Amazon EBS 加密的 Amazon EBS 卷并且未指定 Amazon KMS 密钥 ID 时,您的 Amazon EBS 卷将使用默认加密密钥进行加密。如果默认启用加密,Amazon EBS 将使用 Amazon EBS 加密的默认 KMS 密钥自动加密新卷和快照。

您可以修改默认加密密钥,并使用客户自主管理型密钥来进行 Amazon EBS 加密。这将有助于 GuardDuty访问这些 Amazon EBS 卷。要修改 EBS 默认密钥 ID,请在您的 IAM policy 中添加以下必要权限:ec2:modifyEbsDefaultKmsKeyId。您选择加密但未指定关联的 KMS 密钥 ID 的新建 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一来更新 EBS 默认密钥 ID:

修改 Amazon EBS 卷的默认 KMS 密钥 ID

请执行以下操作之一:

  • 使用 API — 您可以使用 ModifyEbsDefaultKmsKeyIdAPI。有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷

  • 使用 Amazon CLI 命令:以下示例修改了默认 KMS 密钥 ID,如果您未提供 KMS 密钥 ID,则该密钥 ID 将加密 Amazon KMS 密钥 ID。请务必将区域替换为 Amazon Web Services 区域 您 KM 密钥 ID 的。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上述命令将生成与下方输出类似的输出:

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}