我該如何為帳戶中建立的新 Amazon EBS 磁碟區和快照副本開啟自動加密?

1 分的閱讀內容
0

我手動加密我建立的新 Amazon Elastic Block Storage (Amazon EBS) 磁碟區。但是,我想要自動加密新的 Amazon EBS 磁碟區和快照副本。

簡短說明

依預設,不會加密新建立的 Amazon EBS 磁碟區。不過,您可以為在指定區域內建立的新 EBS 磁碟區和快照副本開啟預設加密。若要開啟預設加密,請使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台。

在預設情況下開啟加密之前,請注意下列事項:

  • 預設加密是區域特定的設定。為某個區域開啟加密後,您無法針對該區域中的個別磁碟區或快照關閉加密。
  • 開啟預設加密後,僅限在執行個體類型支援 Amazon EBS 加密時,才能啟動執行個體。
  • 依預設開啟加密功能時,變更不會影響現有未加密或加密的資源。根據預設,加密組態變更僅會影響您在開啟加密後建立的磁碟區和快照副本。
  • 如果預設已開啟加密,且您使用 AWS Server Migration Service 時遇到差異複寫失敗,則依預設關閉加密。對於負載平移遷移,最佳實務是使用 Application Migration Service

解決方法

若要依預設開啟加密,請完成下列步驟:

  1. 開啟 Amazon EC2 主控台
  2. 選取適當的區域。
  3. 在導覽窗格中,選擇 EC2 儀表板
  4. 選擇資料保護與安全性
  5. EBS 加密區段中,選擇管理
  6. 針對一律加密新的 EBS 磁碟區,選取啟用
  7. 針對預設加密金鑰,選取要設為預設值的金鑰。
  8. 選取「更新 EBS 加密」。

視需要對其他區域重複這些步驟。

**注意:**如果您選取預設服務金鑰 (aws/ebs) 做為預設加密金鑰,則您無法跨帳戶共用加密磁碟區。若要進一步了解 AWS KMS 金鑰,請參閱 AWS KMS 概念

AWS 官方
AWS 官方已更新 4 個月前