我該如何為帳戶中建立的新 Amazon EBS 磁碟區和快照副本開啟自動加密？

簡短說明

依預設，不會加密新建立的 Amazon EBS 磁碟區。不過，您可以為在指定區域內建立的新 EBS 磁碟區和快照副本開啟預設加密。若要開啟預設加密，請使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台。

在開啟預設加密之前，請考慮以下各點：

• 預設加密是區域特定的設定。為某個區域開啟加密後，您無法針對該區域中的個別磁碟區或快照將其關閉。
• 開啟預設加密後，僅限在執行個體類型支援 Amazon EBS 加密時，才能啟動執行個體。
• 開啟預設加密不會變更任何現有未加密或已加密的資源。它只會加密您在開啟預設加密後建立的磁碟區和快照副本。
• 如果開啟預設加密，且在使用 AWS Server Migration Service 時遇到差異複寫失敗，則請關閉預設加密。對於負載平移遷移，最佳實務是使用 AWS Application Migration Service（AWS MGN）。

解決方案

1. 開啟 Amazon EC2 主控台。
2. 在導覽列中，選取「區域」。
3. 在導覽窗格中，選取「EC2 儀表板」。
4. 在右上角，選擇「帳戶屬性」、「EBS 加密」。
5. 選取「管理」。
6. 針對「一律加密新的 EBS 磁碟區」，選擇「啟用」。
7. 選取「預設加密金鑰」，然後選取要設為預設值的金鑰。
8. 選取「更新 EBS 加密」。

視需要對其他區域重複這些步驟。

**注意事項：**如果您選取預設服務金鑰 (aws/ebs) 做為預設加密金鑰，則您無法跨帳戶共用加密磁碟區。若要進一步了解 AWS KMS 金鑰，請參閱 AWS KMS 概念。