恶意软件扫描支持的 Amazon EBS 卷 - Amazon GuardDuty
修改默认 KMS 密钥 ID
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

恶意软件扫描支持的 Amazon EBS 卷

在 GuardDuty 支持 EC2 恶意软件防护功能的所有 Amazon Web Services 区域,您都可以扫描未加密或加密的 Amazon EBS 卷。您可能拥有使用 Amazon 托管式密钥客户自主管理型密钥加密的 Amazon EBS 卷。目前,某些支持 EC2 恶意软件保护的区域可能同时支持这两种加密 Amazon EBS 卷的方式,而其他区域则可能仅支持客户自主管理型密钥。有关支持的区域的信息,请参阅按照 Amazon Web Services 区域 筛选的 GuardDuty 服务账号。有关提供 GuardDuty 但不提供 EC2 恶意软件防护的区域的信息,请参阅特定于区域的功能可用性

以下列表说明了 GuardDuty 使用的密钥,无论您的 Amazon EBS 卷是否已加密:

  • 未加密或使用 Amazon 托管式密钥加密的 Amazon EBS 卷:GuardDuty 使用自己的密钥来加密副本 Amazon EBS 卷。

    如果您所在区域不支持扫描使用默认 Amazon EBS 加密的 Amazon EBS 卷,则需要将默认密钥修改为客户自主管理型密钥。这将有助于 GuardDuty 访问这些 EBS 卷。修改密钥后,即使是未来的 EBS 卷也将使用更新后的密钥创建,从而确保 GuardDuty 可以支持恶意软件扫描。有关修改默认密钥的步骤,请参阅下一节中的修改 Amazon EBS 卷的默认 Amazon KMS 密钥 ID

  • 使用客户自主管理型密钥加密的 Amazon EBS 卷:GuardDuty 会使用相同的密钥来加密副本 EBS 卷。有关支持哪些 Amazon KMS 加密相关策略的信息,请参阅 EC2 恶意软件防护的服务相关角色权限

修改 Amazon EBS 卷的默认 Amazon KMS 密钥 ID

当您创建使用 Amazon EBS 加密的 Amazon EBS 卷并且未指定 Amazon KMS 密钥 ID 时,您的 Amazon EBS 卷将使用默认加密密钥进行加密。如果默认启用加密,Amazon EBS 将使用 Amazon EBS 加密的默认 KMS 密钥自动加密新卷和快照。

您可以修改默认加密密钥,并使用客户自主管理型密钥来进行 Amazon EBS 加密。这将有助于 GuardDuty 访问这些 Amazon EBS 卷。要修改 EBS 默认密钥 ID,请在您的 IAM policy 中添加以下必要权限:ec2:modifyEbsDefaultKmsKeyId。您选择加密但未指定关联的 KMS 密钥 ID 的新建 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一来更新 EBS 默认密钥 ID:

修改 Amazon EBS 卷的默认 KMS 密钥 ID

请执行以下操作之一:

  • 使用 API:您可以使用 ModifyEbsDefaultKmsKeyId API。有关如何查看卷加密状态的信息,请参阅创建 Amazon EBS 卷

  • 使用 Amazon CLI 命令:以下示例修改了默认 KMS 密钥 ID,如果您未提供 KMS 密钥 ID,则该密钥 ID 将加密 Amazon KMS 密钥 ID。请务必将区域替换为您 KM 密钥 ID 的 Amazon Web Services 区域。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上述命令将生成与下方输出类似的输出:

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}