如何为在我的账户中创建的新 Amazon EBS 卷和快照副本开启自动加密?
上次更新日期:2022 年 11 月 28 日
我正在手动加密自己创建的新 Amazon Elastic Block Storage (Amazon EBS) 卷。但是,我想自动加密新的 Amazon EBS 卷和快照副本。
简短描述
在默认情况下,新创建的 Amazon EBS 卷不会被加密。但是,您可以为在指定区域内创建的新 EBS 卷和快照副本启用默认加密。要开启默认加密,请使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。
在开启默认加密之前,请考虑以下几点:
- 默认加密设置仅针对特定的区域。为某个区域开启加密后,您无法为该区域中的单个卷或快照关闭此加密。
- 在开启默认加密后,您只能在实例类型支持 Amazon EBS 加密的情况下启动实例。
- 开启默认加密不会更改任何现有的未加密或加密资源。它仅加密您在开启默认加密后创建的卷和快照副本。
- 如果默认加密已开启,并且您在使用 AWS Server Migration Service 迁移服务时遇到增量复制失败,请关闭默认加密。对于直接迁移,最佳实践是使用 AWS Application Migration Service (AWS MGN)。
解决方案
- 打开 Amazon EC2 控制台。
- 在导航栏中,选择 Region(区域)。
- 在导航窗格上,选择 EC2 Dashboard(EC2 控制面板)。
- 在右上角,依次选择 Account Attributes(账户属性)、EBS encryption(EBS 加密)。
- 选择 Manage(管理)。
- 对于 Always encrypt new EBS volumes(始终加密新的 EBS 卷),选择 Enable(启用)。
- 选择 Default encryption key(默认加密密钥),然后选择任何密钥以设置为默认密钥。
- 选择 Update EBS encryption(更新 EBS 加密)。
根据需要为其他区域重复上述步骤。
注意:如果您选择默认服务密钥 (aws/ebs) 作为默认加密密钥,则无法在账户之间共享加密卷。要了解有关 AWS KMS 密钥的更多信息,请参阅 AWS KMS 概念。