Ich verschlüssele neue Amazon Elastic Block Storage (Amazon EBS)-Volumes, die ich erstelle, manuell. Ich möchte jedoch neue Amazon-EBS-Volumes und Snapshot-Kopien automatisch verschlüsseln.
Kurzbeschreibung
Neu erstellte Amazon-EBS-Volumes sind standardmäßig nicht verschlüsselt. Sie können jedoch die Standardverschlüsselung für neue EBS-Volumes und Snapshot-Kopien, die innerhalb einer bestimmten Region erstellt werden, aktivieren. Verwenden Sie die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole, um die Standardmäßige Verschlüsselung zu aktivieren.
Berücksichtigen Sie die folgenden Punkte, bevor Sie die standardmäßige Verschlüsselung aktivieren:
- Die Verschlüsselung ist standardmäßig eine regionsspezifische Einstellung. Nachdem Sie die Verschlüsselung für eine Region aktiviert haben, können Sie sie für einzelne Volumes oder Snapshots in dieser Region nicht mehr deaktivieren.
- Nachdem Sie die standardmäßige Verschlüsselung aktiviert haben, können Sie eine Instance nur dann starten, wenn der Instance-Typ die Amazon-EBS-Verschlüsselung unterstützt.
- Wenn Sie die standardmäßige Verschlüsselung aktivieren, werden keine Änderungen an vorhandenen unverschlüsselten oder verschlüsselten Ressourcen vorgenommen. Es werden lediglich Volumes und Snapshot-Kopien verschlüsselt, die Sie nach dem Aktivieren der standardmäßigen Verschlüsselung erstellen.
- Wenn die standardmäßige Verschlüsselung aktiviert ist und bei der Migration von Services mit AWS Server Migration Service Deltareplikationsfehler auftreten, deaktivieren Sie die standardmäßige Verschlüsselung. Für die Lift-and-Shift-Migration empfiehlt es sich, AWS Application Migration Service (AWS MGN) zu verwenden.
Lösung
- Öffnen Sie die Amazon-EC2-Konsole.
- Wählen Sie in der Navigationsleiste die Region aus.
- Wählen Sie im Navigationsbereich EC2-Dashboard aus.
- Wählen Sie in der oberen rechten Ecke Kontoattribute, EBS-Verschlüsselung aus.
- Wählen Sie Verwalten aus.
- Wählen Sie für Neue EBS-Volumes immer verschlüsseln die Option Aktivieren aus.
- Wählen Sie Standard-Verschlüsselungsschlüssel und anschließend einen Ihrer Schlüssel aus, der als Standard festgelegt werden soll.
- Wählen Sie EBS-Verschlüsselung aktualisieren aus.
Wiederholen Sie diese Schritte nach Bedarf für andere Regionen.
Hinweis: Wenn Sie den Standarddienstschlüssel (aws/ebs) als Standardverschlüsselungsschlüssel auswählen, können Sie das verschlüsselte Volume nicht kontoübergreifend teilen. Weitere Informationen zu AWS-KMS-Schlüsseln finden Sie unter AWS-KMS-Konzepte.