Je chiffre manuellement les nouveaux volumes Amazon Elastic Block Storage (Amazon EBS) que je crée. Toutefois, je souhaite chiffrer automatiquement les nouveaux volumes et les nouvelles copies instantanées Amazon EBS.
Brève description
Les volumes Amazon EBS récemment créés ne sont pas chiffrés par défaut. Cependant, vous pouvez activer le chiffrement par défaut pour les nouveaux volumes EBS et les nouvelles copies instantanées créées dans une région spécifiée. Pour activer le chiffrement par défaut, utilisez la console Amazon Elastic Compute Cloud (Amazon EC2).
Avant d'activer le chiffrement par défaut, tenez compte des points suivants :
- Le chiffrement par défaut est un paramètre spécifique à la région. Une fois que vous avez activé le chiffrement pour une région, vous ne pouvez pas désactiver le chiffrement pour des volumes ou des instantanés individuels dans cette région.
- Après avoir activé le chiffrement par défaut, vous pouvez lancer une instance uniquement si le type d'instance prend en charge le chiffrement Amazon EBS.
- Lorsque vous activez le chiffrement par défaut, cette modification n'affecte pas les ressources chiffrées ou non chiffrées existantes. La modification de la configuration du chiffrement ne concerne que les volumes et les copies instantanées que vous créez après avoir activé le chiffrement par défaut.
- Si le chiffrement par défaut est activé et que vous rencontrez des échecs de réplication delta lorsque vous utilisez AWS Server Migration Service, désactivez le chiffrement par défaut. Pour la migration en mode « lift-and-shift », il est recommandé d'utiliser Application Migration Service.
Résolution
Pour activer le chiffrement par défaut, procédez comme suit :
- Ouvrez la console Amazon EC2.
- Sélectionnez la région appropriée.
- Dans le volet de navigation, sélectionnez Tableau de bord EC2.
- Sélectionnez Protection et sécurité des données.
- Dans la section Chiffrement EBS, sélectionnez Gérer.
- Pour Toujours chiffrer les nouveaux volumes EBS, sélectionnez Activer.
- Pour Clé de chiffrement par défaut, sélectionnez l'une de vos clés à définir comme clé par défaut.
- Sélectionnez Mettre à jour le chiffrement EBS.
Répétez ces étapes pour les autres régions si nécessaire.
Remarque : Si vous sélectionnez la clé de service par défaut (aws/ebs) comme clé de chiffrement par défaut, vous ne pouvez pas partager le volume chiffré entre les comptes. Pour en savoir plus sur les clés AWS KMS, consultez la section Concepts relatifs à AWS KMS.