Come posso decrittografare un volume Amazon EBS crittografato in Linux?

Risoluzione

Nota: la seguente risoluzione utilizza un volume root come esempio. Puoi anche eseguire le seguenti operazioni su un volume secondario.

Per decrittografare il tuo volume Amazon EBS, completa i seguenti passaggi:

1. Crea uno snapshot del volume root crittografato o crea un'Amazon Machine Image (AMI) dell'istanza con il volume crittografato.
   Nota: è consigliabile utilizzare snapshot e AMI per eseguire il backup delle risorse prima di eseguire qualsiasi attività importante.
2. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
3. Arresta l'istanza con il volume root crittografato.
4. Nella scheda Archiviazione, annota il nome del dispositivo root, quindi scegli l'ID del volume.
   Nota: il dispositivo root si differenzia a seconda dell'AMI. Ad esempio, Amazon Linux 1 e 2 usano /dev/xvda. Altre distribuzioni, come Ubuntu 14, 16, 18, CentOS7 e RHEL 7.5, utilizzano /dev/sda1.
5. Scegli Operazioni, quindi Scollega volume.
6. Scegli Yes, Detach (Sì, scollega), quindi annota la zona di disponibilità.
7. Avvia un'istanza di ripristino nella stessa zona di disponibilità dell'istanza originale.
   Nota: utilizza un sistema operativo simile a quello utilizzato per avviare l'istanza originale.
8. Nel pannello di navigazione, scegli ** Volumi**, quindi seleziona il volume root crittografato.
9. Scegli Operazioni, quindi Collega volume.
10. Per Istanza, scegli l'ID dell'istanza di ripristino.
11. Per Nome dispositivo, scegli /dev/xvdf o /dev/sdf.
12. Crea un nuovo volume non crittografato nella stessa zona di disponibilità del volume crittografato originale.
    Importante: per evitare la perdita di dati, verifica che le nuove dimensioni del volume siano maggiori di quelle del volume crittografato.
13. Collega il nuovo volume non crittografato all'istanza di ripristino come /dev/xvdg o /dev/sdg.
14. Connettiti all'istanza di ripristino, quindi esegui il comando lsblk per verificare se il dispositivo root e i volumi collegati esistono:

lsblk

Esempio di output

NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk
└─xvdf1 202:81   0   8G  0 part
xvdg    202:96   0   8G  0 disk

15. Per spostare i dati dal volume crittografato originale al nuovo volume non crittografato, esegui i comandi dd come utente sudo o root:

dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Nota: nel comando precedente, il file di input è /dev/xvdf e il file di output è /dev/xvdg. Il tempo di trasferimento dei dati varia in base alle dimensioni e al tipo di volume e istanza. Scollega il nuovo volume /dev/xvdg non crittografato dall'istanza di ripristino, quindi collegarlo all'istanza originale come /dev/xvda o /dev/sda1. Connettiti all'istanza originale per verificare se l'istanza legge il nuovo volume root non crittografato. Sulla console Amazon EC2, seleziona l'istanza originale, quindi visualizza le proprietà del volume per verificare che il volume principale non sia crittografato.
Nota: potrebbe essere necessario riavviare o interrompere e avviare l'istanza per registrare le modifiche alla partizione nel kernel. Ripeti la procedura per gli altri volumi crittografati sull'istanza originale per creare volumi clonati non crittografati. Termina l'istanza di ripristino.