如何为在我的账户中创建的新 Amazon EBS 卷和快照副本开启自动加密？

上次更新日期：2022 年 11 月 28 日

在默认情况下，新创建的 Amazon EBS 卷不会被加密。但是，您可以为在指定区域内创建的新 EBS 卷和快照副本启用默认加密。要开启默认加密，请使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台。

在开启默认加密之前，请考虑以下几点：

• 默认加密设置仅针对特定的区域。为某个区域开启加密后，您无法为该区域中的单个卷或快照关闭此加密。
• 在开启默认加密后，您只能在实例类型支持 Amazon EBS 加密的情况下启动实例。
• 开启默认加密不会更改任何现有的未加密或加密资源。它仅加密您在开启默认加密后创建的卷和快照副本。
• 如果默认加密已开启，并且您在使用 AWS Server Migration Service 迁移服务时遇到增量复制失败，请关闭默认加密。对于直接迁移，最佳实践是使用 AWS Application Migration Service (AWS MGN)。

1. 打开 Amazon EC2 控制台。
2. 在导航栏中，选择 Region（区域）。
3. 在导航窗格上，选择 EC2 Dashboard（EC2 控制面板）。
4. 在右上角，依次选择 Account Attributes（账户属性）、EBS encryption（EBS 加密）。
5. 选择 Manage（管理）。
6. 对于 Always encrypt new EBS volumes（始终加密新的 EBS 卷），选择 Enable（启用）。
7. 选择 Default encryption key（默认加密密钥），然后选择任何密钥以设置为默认密钥。
8. 选择 Update EBS encryption（更新 EBS 加密）。

根据需要为其他区域重复上述步骤。

注意：如果您选择默认服务密钥 (aws/ebs) 作为默认加密密钥，则无法在账户之间共享加密卷。要了解有关 AWS KMS 密钥的更多信息，请参阅 AWS KMS 概念。