支持用于恶意软件扫描的 Amazon EBS 卷 - Amazon GuardDuty
修改默认 KMS 密钥 ID
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持用于恶意软件扫描的 Amazon EBS 卷

在所有 GuardDuty 支持恶意软件保护功能 Amazon Web Services 区域 的地方,您都可以扫描未加密或加密的 Amazon EBS 卷。您可以拥有使用客户托管密钥Amazon 托管式密钥客户托管密钥加密的 Amazon EBS 卷。目前,其中一些 Amazon Web Services 区域 支持两种方式来加密您的 Amazon EBS 卷,而另一些则仅支持客户托管密钥。

有关尚不支持此功能的更多信息,请参阅 China Regions

以下列表描述了无论您的 Amazon EBS 卷是否加密所 GuardDuty 使用的密钥:

恶意软件防护不支持使用 a productCode s 扫描 Amazon EC2 实例marketplace。如果针对此类 Amazon EC2 实例启动了恶意软件扫描,则系统会跳过该扫描。有关更多信息,请参阅恶意软件扫描期间跳过资源的原因中的UNSUPPORTED_PRODUCT_CODE_TYPE

修改亚马逊 EBS 卷的默认 Amazon KMS 密钥 ID

默认情况下,在加密设置为而不指定 KMS 密钥 ID 的情况下调用 CreateVolumeAPI 会创建一个 Amazon EBS 卷,该卷使用默认 Amazon KMS 密钥进行加密,以进行 E BS 加密。true但是,如果未明确提供加密密钥,则可以通过调用 ModifyEbsDefaultKmsKeyIdAPI 或使用相应的 Amazon CLI 命令来修改默认密钥。

要修改 EBS 默认密钥 ID,请在您的 IAM policy 中添加以下必要权限:ec2:modifyEbsDefaultKmsKeyId。任何您选择加密但未指定关联的 KMS 密钥 ID 的新创建的 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一更新 EBS 默认密钥 ID:

修改 Amazon EBS 卷的默认 KMS 密钥 ID

请执行以下操作之一:

  • 使用 API — 您可以使用 ModifyEbsDefaultKmsKeyIdAPI。有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷

  • 使用 Amazon CLI 命令 — 以下示例修改默认 KMS 密钥 ID,如果您不提供 KMS 密钥 ID,则该密钥将加密 Amazon EBS 卷。请务必将区域替换为您 Amazon Web Services 区域 的 KM 密钥 ID。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上述命令将生成与下方输出类似的输出:

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}