Como descriptografo um volume EBS criptografado?

Última atualização: 20/08/2020

Desejo descriptografar um volume do Amazon Elastic Block Store (Amazon EBS) que foi criptografado usando uma chave padrão do AWS Key Management Service (KMS) ou uma chave KMS personalizada. Como posso fazer isso?

Descrição breve

Você pode copiar um volume criptografado para um novo volume não criptografado usando uma instância temporária do Amazon Elastic Compute Cloud (Amazon EC2). Em seguida, você pode anexar o volume não criptografado à instância original.

Resolução

Observação: a resolução a seguir usa um volume raiz como exemplo. Você também pode executar essas etapas em um volume secundário.

1.    Crie um snapshot do volume raiz criptografado ou crie uma AMI da instância com o volume criptografado. Use snapshots e AMIs para fornecer backups para seus recursos antes de executar qualquer tarefa importante.

2.    Abra oconsole do Amazon EC2.

3.    Interrompa a instância com o volume raiz criptografado.

4.    Na guia Descrição, em Dispositivo raiz, escolha o volume raiz e, em seguida, escolha o ID do EBS. Anote o nome do dispositivo raiz.

Observação: o dispositivo raiz difere de acordo com a AMI. Por exemplo, o Amazon Linux 1 e 2 usam /dev/xvda. Outras distribuições, como Ubuntu 14, 16, 18, CentOS7 e RHEL 7.5, usam /dev/sda1.

5.    Escolha Ações, Desanexar volume e, em seguida, escolha Sim, desanexar. Observe a zona de disponibilidade.

6.    Execute uma instância de recuperação com um sistema operacional semelhante e na mesma zona de disponibilidade da instância original.

7.    Depois que a instância de recuperação for iniciada, escolha Volumes no painel de navegação e, em seguida, selecione o volume raiz criptografado e desanexado.

8.    Escolha Ações, Anexar volume.

9.    Escolha o ID da instância de recuperação (id-xxxx) e anexe o volume criptografado em /dev/xvdf ou/dev/sdf.

10.    Crie um novo volume não criptografado na mesma zona de disponibilidade do volume criptografado original.

Importante: para evitar a perda de dados, confirme se o novo tamanho do volume é maior do que o tamanho do volume criptografado.

11.    Anexe o novo volume não criptografado à instância de recuperação como /dev/xvdg ou/dev/sdg.

12.    Estabeleça conexão à instância de recuperação e confirme a presença do dispositivo raiz e de ambos os volumes anexados usando o comando lsblk.

$lsblk
NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk 
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk 
└─xvdf1 202:81   0   8G  0 part 
xvdg    202:96   0   8G  0 disk

13.    Como sudoer/root, use o comando dd para mover os dados do volume original criptografado (o arquivo de entrada é /dev/xvdf) para o novo volume não criptografado (o arquivo de saída é /dev/xvdg).

#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Observação: o tempo de transferência de dados varia de acordo com o tamanho e o tipo do volume e da instância.

14.    Desanexe o novo volume não criptografado (/dev/xvdg) da instância de recuperação. Em seguida, anexe-o à instância original como /dev/xvda ou /dev/sda1.

15.    Estabeleça conexão à instância original para confirmar se a instância lê o novo volume raiz não criptografado (copiado).

16.    Para ter certeza de que o volume raiz agora não está criptografado, selecione a instância original no console do Amazon EC2 e, em seguida, visualize as propriedades do volume.

Observação: talvez seja necessário reiniciar ou interromper e iniciar a instância para registrar as alterações de partição no kernel.

17.    Repita o processo para quaisquer outros volumes criptografados na instância original para criar volumes “clonados” não criptografados.

18.    Encerre a instância de recuperação depois de confirmar que os novos volumes não criptografados estão funcionando corretamente.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?