Come faccio a decrittografare un volume EBS crittografato in Linux?

Breve descrizione

È possibile copiare un volume crittografato su un nuovo volume non crittografato utilizzando un'istanza Linux temporanea di Amazon Elastic Compute Cloud (Amazon EC2). È quindi possibile allegare il volume non crittografato all'istanza originale.

Risoluzione

Nota: La seguente risoluzione utilizza un volume root come esempio. È inoltre possibile eseguire questi passaggi su un volume secondario.

1.    Crea una snapshot del volume root crittografato o crea un'AMI dell'istanza con il volume crittografato. Utilizza snapshot e AMI per fornire backup delle risorse prima di eseguire qualsiasi processo importante.

2.    Apri la console di Amazon EC2.

3.    Arresta l'istanza con il volume root crittografato.

4.    Nella scheda Descrizione, in Dispositivo root, scegli il volume root. Quindi, scegli l'EBS ID. Prendi nota del nome del tuo dispositivo root.

Nota: Il dispositivo root differisce per AMI. Ad esempio, Amazon Linux 1 e 2 utilizzano /dev/xvda. Altre distribuzioni, come Ubuntu 14, 16, 18, CentOS7 e RHEL 7.5, usano /dev/sda1.

5.    Scegli Operazioni, Distacca volume, quindi scegli Sì, distacca. Nota la zona di disponibilità.

6.    Avvia un'istanza di ripristino con un sistema operativo simile e nella stessa zona di disponibilità dell'istanza originale.

7.    Dopo l'avvio dell'istanza di ripristino, scegli Volumi dal riquadro di navigazione. Quindi, seleziona il volume root scollegato e crittografato.

8.    Scegli Operazioni, Allega volume.

9.    Scegli l'ID dell'istanza di ripristino (id-xxxx) e allega il volume crittografato in /dev/xvdf o /dev/sdf.

10.    Crea un nuovo volume non crittografato nella stessa zona di disponibilità del volume crittografato originale.

Importante: per evitare la perdita di dati, verifica che le dimensioni del nuovo volume siano maggiori di quelle del volume crittografato.

11.    Allega il nuovo volume non crittografato all'istanza di ripristino come /dev/xvdg o**/dev/sdg**.

12.    Connettiti all'istanza di ripristino e conferma la presenza del dispositivo root e di entrambi i volumi allegati utilizzando il comando lsblk.

$lsblk
NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk 
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk 
└─xvdf1 202:81   0   8G  0 part 
xvdg    202:96   0   8G  0 disk

13.    Come sudoer/root, utilizza il comando dd per spostare i dati dal volume originale crittografato (il file di input è /dev/xvdf) al nuovo volume non crittografato (il file di output è /dev/xvdg).

#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Nota: il tempo di trasferimento dei dati varia a seconda delle dimensioni e del tipo del volume e dell'istanza.

14.    Scollega il nuovo volume non crittografato (/dev/xvdg) dall'istanza di ripristino. Quindi, allegalo all'istanza originale come /dev/xvda o**/dev/sda1**.

15.    Connettiti all'istanza originale per confermare che l'istanza legga il nuovo volume radice non crittografato (copiato).

16.    Per assicurarti che il volume root non sia crittografato, seleziona l'istanza originale nella console Amazon EC2, quindi visualizza le proprietà del volume.

Nota: Potrebbe essere necessario riavviare o arrestare e avviare l'istanza per registrare le modifiche alla partizione nel kernel.

17.    Ripeti il processo per qualsiasi altro volume crittografato nell'istanza originale per creare volumi "clonati" non crittografati.

18.    Chiudi l'istanza di ripristino dopo aver confermato che i nuovi volumi non crittografati funzionino correttamente.