Come faccio a decrittografare un volume EBS crittografato in Linux?
Desidero decrittografare un volume Amazon Elastic Block Store (Amazon EBS) in Linux che è stato crittografato utilizzando un Servizio di gestione delle chiavi AWS (AWS KMS) di default o una chiave KMS personalizzata. Come si fa?
Breve descrizione
È possibile copiare un volume crittografato su un nuovo volume non crittografato utilizzando un'istanza Linux temporanea di Amazon Elastic Compute Cloud (Amazon EC2). È quindi possibile allegare il volume non crittografato all'istanza originale.
Risoluzione
Nota: La seguente risoluzione utilizza un volume root come esempio. È inoltre possibile eseguire questi passaggi su un volume secondario.
1. Crea una snapshot del volume root crittografato o crea un'AMI dell'istanza con il volume crittografato. Utilizza snapshot e AMI per fornire backup delle risorse prima di eseguire qualsiasi processo importante.
2. Apri la console di Amazon EC2.
3. Arresta l'istanza con il volume root crittografato.
4. Nella scheda Descrizione, in Dispositivo root, scegli il volume root. Quindi, scegli l'EBS ID. Prendi nota del nome del tuo dispositivo root.
Nota: Il dispositivo root differisce per AMI. Ad esempio, Amazon Linux 1 e 2 utilizzano /dev/xvda. Altre distribuzioni, come Ubuntu 14, 16, 18, CentOS7 e RHEL 7.5, usano /dev/sda1.
5. Scegli Operazioni, Distacca volume, quindi scegli Sì, distacca. Nota la zona di disponibilità.
6. Avvia un'istanza di ripristino con un sistema operativo simile e nella stessa zona di disponibilità dell'istanza originale.
7. Dopo l'avvio dell'istanza di ripristino, scegli Volumi dal riquadro di navigazione. Quindi, seleziona il volume root scollegato e crittografato.
8. Scegli Operazioni, Allega volume.
9. Scegli l'ID dell'istanza di ripristino (id-xxxx) e allega il volume crittografato in /dev/xvdf o /dev/sdf.
10. Crea un nuovo volume non crittografato nella stessa zona di disponibilità del volume crittografato originale.
Importante: per evitare la perdita di dati, verifica che le dimensioni del nuovo volume siano maggiori di quelle del volume crittografato.
11. Allega il nuovo volume non crittografato all'istanza di ripristino come /dev/xvdg o**/dev/sdg**.
12. Connettiti all'istanza di ripristino e conferma la presenza del dispositivo root e di entrambi i volumi allegati utilizzando il comando lsblk.
$lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT xvda 202:0 0 8G 0 disk └─xvda1 202:1 0 8G 0 part / xvdf 202:80 0 8G 0 disk └─xvdf1 202:81 0 8G 0 part xvdg 202:96 0 8G 0 disk
13. Come sudoer/root, utilizza il comando dd per spostare i dati dal volume originale crittografato (il file di input è /dev/xvdf) al nuovo volume non crittografato (il file di output è /dev/xvdg).
#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress
Nota: il tempo di trasferimento dei dati varia a seconda delle dimensioni e del tipo del volume e dell'istanza.
14. Scollega il nuovo volume non crittografato (/dev/xvdg) dall'istanza di ripristino. Quindi, allegalo all'istanza originale come /dev/xvda o**/dev/sda1**.
15. Connettiti all'istanza originale per confermare che l'istanza legga il nuovo volume radice non crittografato (copiato).
16. Per assicurarti che il volume root non sia crittografato, seleziona l'istanza originale nella console Amazon EC2, quindi visualizza le proprietà del volume.
Nota: Potrebbe essere necessario riavviare o arrestare e avviare l'istanza per registrare le modifiche alla partizione nel kernel.
17. Ripeti il processo per qualsiasi altro volume crittografato nell'istanza originale per creare volumi "clonati" non crittografati.
18. Chiudi l'istanza di ripristino dopo aver confermato che i nuovi volumi non crittografati funzionino correttamente.
Video correlati
Contenuto pertinente
- AWS UFFICIALEAggiornata 3 mesi fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa