我想对现有的未加密 Amazon Elastic Block Store (Amazon EBS) 卷进行加密。或者,我想更改现有已加密 Amazon EBS 卷使用的加密密钥。我该如何操作?
简短描述
您无法对现有的未加密 Amazon EBS 卷进行加密。您也无法更改现有已加密 EBS 卷使用的 AWS Key Management Service (AWS KMS) 密钥。但是,您可以创建卷的快照。然后,使用快照创建卷的新加密副本。创建新卷时,请指定要使用的加密密钥。
解决方案
**注意:**根据快照创建的 Amazon EBS 卷需要经过初始化过程。这样可能会导致卷出现初始性能下降。为避免性能下降,请使用步骤 8 中列出的两个选项之一。
- 打开 Amazon EC2 控制台。
- 在 Elastic Block Store 下,选择卷。
- 从列表中选择卷。记下您的卷的当前可用区。
- 从 Actions(操作)下拉列表中选择 Create snapshot(创建快照)。
- (可选)输入快照的描述。
- 选择 Create Snapshot(创建快照)。
- 在 Elastic Block Store 下,选择 Snapshots(快照),然后选择您新建的快照。
- (可选)为避免延迟问题,请在快照上开启 Amazon EBS 快速快照恢复。或者,在创建 Amazon EBS 卷后手动初始化。
- 从 Actions(操作)下拉列表中选择 Create volume from snapshot(从快照创建卷)。
- 从 Availability Zone(可用区)下拉列表中选择您记下的当前卷可用区。
- 如果源快照未加密,则在 Encryption(加密)下,选择 Encrypt this volume(加密此卷)。
- 从 KMS key(KMS 密钥)下拉列表中,选择加密密钥。
- 选择 Create volume(创建卷)。
要默认加密卷和快照副本,请参阅如何为在我的账户中创建的新 Amazon EBS 卷和快照副本开启自动加密?
相关信息
Amazon EBS 加密