如何为在我的账户中创建的新 Amazon EBS 卷和快照副本启用自动加密？

简短描述

默认情况下，新创建的 Amazon EBS 卷未加密。但是，您可以为在指定区域内创建的新 EBS 卷和快照副本启用默认加密。要默认开启加密，请使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。

在开启默认加密之前，请注意以下几点：

• 默认加密是特定于区域的设置。为某个区域开启加密后，您无法关闭该区域中单个卷或快照的加密。
• 开启默认加密后，仅当实例类型支持 Amazon EBS 加密时，您才能启动该实例。
• 当您开启默认加密时，该更改不会影响现有的未加密或已加密资源。加密配置的更改仅影响您在开启默认加密后创建的卷和快照副本。
• 如果默认加密处于启用状态，并且您在使用 AWS Server Migration Service 时遇到增量复制失败，则关闭默认加密。对于升降迁移，最佳实践是使用 Application Migration Service。

解决方法

要开启默认加密，请完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 选择相应的区域。
3. 在导航窗格中，选择 EC2 Dashboard（EC2 控制面板）。
4. 选择 Data protection and security（数据保护和安全）。
5. 在 EBS encryption（EBS 加密）部分中，选择 Manage（管理）。
6. 对于 Always encrypt new EBS volumes（始终加密新的 EBS 卷），选择 Enable（启用）。
7. 对于 Default encryption key（默认加密密钥），选择任意密钥将其设置为默认密钥。
8. 选择 Update EBS encryption（更新 EBS 加密）。

根据需要对其他区域重复这些步骤。

**注意：**如果您选择默认服务密钥 (aws/ebs) 作为默认加密密钥，则无法跨账户共享加密卷。要了解有关 AWS KMS 密钥的更多信息，请参阅 AWS KMS 概念。