Estou criptografando manualmente os novos volumes do Amazon Elastic Block Storage (Amazon EBS) que eu crio. Mas eu quero criptografar automaticamente novos volumes do Amazon EBS e cópias de snapshot.
Breve descrição
Os volumes do Amazon EBS recém-criados não são criptografados por padrão. No entanto, você pode ativar a criptografia padrão para novos volumes do EBS e cópias de snapshot criadas em uma região especificada. Para ativar a criptografia por padrão, use o console Amazon Elastic Compute Cloud (Amazon EC2).
Antes de ativar a criptografia por padrão, considere os seguintes pontos:
- A criptografia por padrão é uma configuração específica da região. Depois de ativar a criptografia para uma região, você não pode desativá-la para volumes ou snapshots individuais nessa região.
- Depois de ativar a criptografia por padrão, você só poderá executar uma instância se o tipo de instância suportar a criptografia do Amazon EBS.
- Ativar a criptografia por padrão não altera nenhum recurso existente não criptografado ou criptografado. Essa ação criptografa somente volumes e cópias de snapshot que você cria após ativar a criptografia padrão.
- Se a criptografia padrão estiver ativada e você estiver enfrentando falhas de replicação delta ao migrar serviços usando o AWS Server Migration Service, desative a criptografia padrão. Para a migração lift-and-shift, é uma melhor prática usar o AWS Application Migration Service (AWS MGN).
Resolução
- Abra o console do Amazon EC2.
- Na barra de navegação, selecione a Região.
- No painel de navegação, escolha Painel do EC2.
- No canto superior direito, escolha Atributos da conta, Criptografia do EBS.
- Escolha Manage (Gerenciar).
- Em Always encrypt new EBS volumes (Sempre criptografar novos volumes do EBS), escolha Enable (Ativar).
- Escolha Default encryption key (Chave de criptografia padrão) e selecione qualquer uma das suas chaves para definir como a chave padrão.
- Escolha Update EBS encryption (Atualizar criptografia do EBS).
Repita essas etapas para outras regiões conforme necessário.
Observação: se você selecionar a chave de serviço padrão (aws/ebs) como a chave de criptografia padrão, não poderá compartilhar o volume criptografado entre contas. Para saber mais sobre as chaves do AWS KMS, consulte Conceitos do AWS KMS.