Como posso ativar a criptografia automática de novos volumes do Amazon EBS e cópias de snapshot criados em minha conta?

Breve descrição

Os volumes do Amazon EBS recém-criados não são criptografados por padrão. No entanto, você pode ativar a criptografia padrão para novos volumes do EBS e cópias de snapshot criadas em uma região especificada. Para ativar a criptografia por padrão, use o console Amazon Elastic Compute Cloud (Amazon EC2).

Antes de ativar a criptografia por padrão, considere os seguintes pontos:

• A criptografia por padrão é uma configuração específica da região. Depois de ativar a criptografia para uma região, você não pode desativá-la para volumes ou snapshots individuais nessa região.
• Depois de ativar a criptografia por padrão, você só poderá executar uma instância se o tipo de instância suportar a criptografia do Amazon EBS.
• Ativar a criptografia por padrão não altera nenhum recurso existente não criptografado ou criptografado. Essa ação criptografa somente volumes e cópias de snapshot que você cria após ativar a criptografia padrão.
• Se a criptografia padrão estiver ativada e você estiver enfrentando falhas de replicação delta ao migrar serviços usando o AWS Server Migration Service, desative a criptografia padrão. Para a migração lift-and-shift, é uma melhor prática usar o AWS Application Migration Service (AWS MGN).

Resolução

1. Abra o console do Amazon EC2.
2. Na barra de navegação, selecione a Região.
3. No painel de navegação, escolha Painel do EC2.
4. No canto superior direito, escolha Atributos da conta, Criptografia do EBS.
5. Escolha Manage (Gerenciar).
6. Em Always encrypt new EBS volumes (Sempre criptografar novos volumes do EBS), escolha Enable (Ativar).
7. Escolha Default encryption key (Chave de criptografia padrão) e selecione qualquer uma das suas chaves para definir como a chave padrão.
8. Escolha Update EBS encryption (Atualizar criptografia do EBS).

Repita essas etapas para outras regiões conforme necessário.

Observação: se você selecionar a chave de serviço padrão (aws/ebs) como a chave de criptografia padrão, não poderá compartilhar o volume criptografado entre contas. Para saber mais sobre as chaves do AWS KMS, consulte Conceitos do AWS KMS.