Come posso decrittografare un volume Amazon EBS crittografato in Linux?

3 minuti di lettura

Desidero decrittografare un volume Amazon Elastic Block Store (Amazon EBS) in Linux che ho crittografato con una chiave del Servizio AWS di gestione delle chiavi (AWS KMS) predefinita o personalizzata.

Risoluzione

Nota: la seguente risoluzione utilizza un volume root come esempio. Puoi anche eseguire le seguenti operazioni su un volume secondario.

Per decrittografare un volume Amazon EBS, completa i seguenti passaggi:

Crea uno snapshot del volume root crittografato o crea un'Amazon Machine Image (AMI) dell'istanza con il volume crittografato.
Nota: è consigliabile utilizzare snapshot e AMI per eseguire il backup delle risorse prima di eseguire qualsiasi attività importante.
Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
Arresta l'istanza con il volume root crittografato.
Nella scheda Storage, annota il nome del dispositivo root, quindi scegli ID volume.
Nota: il dispositivo root si differenzia a seconda dell'AMI.
Scegli Operazioni, quindi seleziona Scollega volume.
Scegli Scollega, quindi annota la zona di disponibilità.
Avvia un'istanza di ripristino nella stessa zona di disponibilità dell'istanza originale.
Nota: utilizza un sistema operativo simile a quello utilizzato per avviare l'istanza originale.
Scegli Volumi, quindi seleziona il volume root crittografato.
Scegli Operazioni, quindi seleziona Collega volume.
Per Istanza, seleziona l'ID dell'istanza di ripristino.
Per Nome dispositivo, scegli /dev/xvdf o /dev/sdf.
Crea un nuovo volume decrittografato nella stessa zona di disponibilità del volume crittografato originale.
Importante: per evitare la perdita di dati, verifica che le nuove dimensioni del volume siano maggiori di quelle del volume crittografato.
Collega il nuovo volume decrittografato all'istanza di ripristino come /dev/xvdg o /dev/sdg.
Connettiti all'istanza di ripristino. Quindi esegui il comando lsblk per verificare che il dispositivo root e i volumi collegati esistano:

lsblk

Esempio di output:

NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINTxvda    202:0    0   8G  0 disk   
└─xvda1 202:1    0   8G  0 part /  
xvdf    202:80   0   8G  0 disk   
└─xvdf1 202:81   0   8G  0 part   
xvdg    202:96   0   8G  0 disk

Per spostare i dati dal volume crittografato originale al nuovo volume decrittografato, esegui i comandi dd come utente sudo o root:

dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

Nota: nel comando precedente, il file di input è /dev/xvdf e il file di output è /dev/xvdg. Il tempo di trasferimento dei dati varia in base alle dimensioni e al tipo di volume e istanza. Scollega il nuovo volume /dev/xvdg decrittografato dall'istanza di ripristino. Quindi collegalo all'istanza originale come /dev/xvda o /dev/sda1. Connettiti all'istanza originale per verificare se l'istanza legge il nuovo volume root decrittografato. Dalla console Amazon EC2, seleziona l'istanza originale, quindi visualizza le proprietà del volume per verificare che il volume root sia decrittografato.
Nota: potresti dover riavviare o arrestare e avviare l'istanza per registrare le modifiche alla partizione nel kernel. Ripeti la procedura per gli altri volumi crittografati nell'istanza originale per creare volumi clonati decrittografati. Termina l'istanza di ripristino.

Argomenti: Storage
Tag: Amazon Elastic Block Store
Lingua: Italiano

AWS UFFICIALEAggiornata 7 mesi fa

Contenuto pertinente

Come posso creare un cluster EMR con crittografia dei volumi EBS?
AWS UFFICIALEAggiornata 5 mesi fa
Come posso crittografare un volume Amazon EBS non crittografato esistente o modificare la chiave di crittografia utilizzata dal mio volume?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso risolvere gli errori che ricevo quando creo un volume Amazon EBS da uno snapshot?
AWS UFFICIALEAggiornata un anno fa
Come posso condividere uno snapshot o un volume Amazon EBS crittografato con un altro account AWS?
AWS UFFICIALEAggiornata 6 mesi fa