Como faço para descriptografar um volume criptografado do Amazon EBS no Linux?

Resolução

Observação: a resolução a seguir usa um volume-raiz como exemplo. Também é possível executar as etapas a seguir em um volume secundário.

Para descriptografar seu volume do Amazon EBS, conclua as seguintes etapas:

1. Crie um snapshot do volume-raiz criptografado ou crie uma imagem de máquina da Amazon (AMI) da instância com o volume criptografado.
   Observação: é uma prática recomendada usar snapshots e AMIs para fazer back-up dos recursos antes de realizar qualquer tarefa importante.
2. Abra o console do Amazon Elastic Compute Cloud (Amazon EC2).
3. Interrompa a instância com o volume-raiz criptografado.
4. Na guia Armazenamento, anote o nome do dispositivo-raiz e escolha o ID de volume.
   Observação: o dispositivo raiz difere de acordo com a AMI. Por exemplo, o Amazon Linux 1 e 2 usam /dev/xvda. Outras distribuições, como Ubuntu 14, 16, 18, CentOS7 e RHEL 7.5, usam /dev/sda1.
5. Escolha Ações e, em seguida, Separar volume.
6. Escolha Sim, separar e, em seguida, anote a Zona de disponibilidade.
7. Inicie uma instância de resgate na mesma zona de disponibilidade da instância original.
   Observação: use um sistema operacional (SO) semelhante ao que você usou para iniciar a instância original.
8. No painel de navegação, escolha Volumes e selecione o volume-raiz criptografado.
9. Escolha Ações e, em seguida, Anexar volume.
10. Em Instância, escolha o ID da instância de resgate.
11. Em Nome do dispositivo, escolha /dev/xvdf ou /dev/sdf.
12. Crie um novo volume não criptografado na mesma zona de disponibilidade do volume criptografado original.
    Importante: para evitar a perda de dados, confirme se o tamanho do novo volume é maior do que o tamanho do volume criptografado.
13. Anexe o novo volume não criptografado à instância de resgate como /dev/xvdg ou /dev/sdg.
14. Conecte-se à instância de resgate e execute o comando lsblk para confirmar se o dispositivo-raiz e os volumes anexados existem:

lsblk

Exemplo de saída

NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk
└─xvdf1 202:81   0   8G  0 part
xvdg    202:96   0   8G  0 disk

15. Para mover os dados do volume criptografado original para o novo volume não criptografado, execute os comandos dd como usuário sudo ou raiz:

dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Observação: no comando anterior, o arquivo de entrada é /dev/xvdf e o arquivo de saída é /dev/xvdg. O tempo de transferência de dados varia de acordo com o tamanho e o tipo do volume e da instância. Separe o novo volume /dev/xvdg não criptografado da instância de resgate e, em seguida, anexe-o à instância original como /dev/xvda ou /dev/sda1. Conecte-se à instância original para confirmar que a instância lê o novo volume-raiz não criptografado. No console do Amazon EC2, selecione a instância original e, em seguida, visualize as propriedades do volume para confirmar que o volume-raiz agora não está criptografado.
Observação: talvez seja necessário reinicializar ou interromper e iniciar a instância para registrar as alterações de partição no kernel. Repita o processo para outros volumes criptografados na instância original para criar volumes clonados que não são criptografados. Encerre a instância de resgate.