Wie kann ich ein verschlüsseltes EBS-Volume entschlüsseln?

Letzte Aktualisierung: 20.08.2020

Ich möchte ein Amazon Elastic Block Store (Amazon EBS)-Volume entschlüsseln, das mit einem standardmäßigen AWS Key Management Service (KMS)-Schlüssel oder einem benutzerdefinierten KMS-Schlüssel verschlüsselt wurde. Wie gehe ich dazu vor?

Kurzbeschreibung

Sie können ein verschlüsseltes Volume mithilfe einer temporären Amazon Elastic Compute Cloud (Amazon EC2)-Instance auf ein neues, unverschlüsseltes Volume kopieren. Sie können dann das unverschlüsselte Volume an Ihre ursprüngliche Instance anhängen.

Lösung

Hinweis: Die folgende Lösung verwendet ein Root-Volume als Beispiel. Sie können diese Schritte auch auf einem sekundären Volume ausführen.

1.    Erstellen Sie einen Snapshot des verschlüsselten Root-Volumes oder erstellen Sie ein AMI der Instance mit dem verschlüsselten Volume. Verwenden Sie Snapshots und AMIs, um Backups für Ihre Ressourcen bereitzustellen, bevor Sie größere Aufgaben ausführen.

2.    Öffnen Sie die Amazon EC2-Konsole.

3.    Beenden Sie die Instance mit dem verschlüsselten Root-Volume.

4.    Wählen Sie auf der Registerkarte Beschreibung unter Root-Gerät das Root-Volume aus und wählen Sie dann die EBS-ID aus. Notieren Sie sich den Namen Ihres Root-Geräts.

Hinweis: Das Root-Gerät unterscheidet sich durch AMI. Beispielsweise verwenden Amazon Linux 1 und 2 /dev/xvda. Andere Distributionen wie Ubuntu 14, 16, 18, CentOS7 und RHEL 7.5 verwenden /dev/sda1.

5.    Wählen Sie Aktionen, Volume trennen und dann Ja, trennen. Beachten Sie die Availability Zone.

6.    Starten Sie eine Rescue-Instance mit einem ähnlichen Betriebssystem und in derselben Availability Zone wie die ursprüngliche Instance.

7.    Nachdem die Rescue-Instance gestartet wurde, wählen Sie im Navigationsbereich Volumes aus und wählen Sie dann das getrennte, verschlüsselte Root-Volume aus.

8.    Wählen Sie Aktionen, Volumen anfügen.

9.    Wählen Sie die Rescue-Instanz-ID (id-xxxx) und fügen Sie das verschlüsselte Volume an /dev/xvdf oder /dev/sdf an.

10.    Erstellen Sie ein neues, unverschlüsseltes Volume in derselben Availability Zone wie das ursprüngliche, verschlüsselte Volume.

Wichtig: Um Datenverlust zu vermeiden, vergewissern Sie sich, dass Ihre neue Volume-Größe größer als die Größe des verschlüsselten Volumes ist.

11.    Fügen Sie das neue, unverschlüsselte Volume als /dev/xvdg oder /dev/sdg an die Rescue-Instance an.

12.    Stellen Sie eine Verbindung zur Rescue-Instance her und bestätigen Sie mit dem Befehl lsblk das Vorhandensein des Root-Geräts und beider angeschlossener Volumes.

$lsblk
NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk 
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk 
└─xvdf1 202:81   0   8G  0 part 
xvdg    202:96   0   8G  0 disk

13.    Verwenden Sie als sudoer/root den Befehl dd, um die Daten vom ursprünglichen, verschlüsselten Volume (Eingabedatei ist /dev/xvdf) auf das neue, unverschlüsselte Volume zu verschieben (Ausgabedatei ist /dev/xvdg).

#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Hinweis: Die Datenübertragungszeit variiert je nach Größe und Typ des Volumes und der Instance.

14.    Trennen Sie das neue, unverschlüsselte Volume (/dev/xvdg) von der Rescue-Instance. Fügen Sie es dann als /dev/xvda oder /dev/sda1 an die ursprüngliche Instance an.

15.    Verbinden Sie sich mit der ursprünglichen Instance, um zu bestätigen, dass die Instance das neue, unverschlüsselte (kopierte) Root-Volume liest.

16.    Um sicherzustellen, dass das Root-Volume jetzt unverschlüsselt ist, wählen Sie die ursprüngliche Instance in der Amazon EC2-Konsole aus und zeigen Sie dann die Eigenschaften des Volumes an.

Hinweis: Möglicherweise müssen Sie die Instance neu starten oder anhalten und starten, um die Partitionsänderungen im Kernel zu registrieren.

17.    Wiederholen Sie den Vorgang für alle anderen verschlüsselten Volumes auf der ursprünglichen Instance, um „geklonte“ Volumes zu erstellen, die unverschlüsselt sind.

18.    Fahren Sie die Rescue-Instance herunter, nachdem Sie bestätigt haben, dass die neuen, unverschlüsselten Volumes ordnungsgemäß funktionieren.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?