我該如何為帳戶中建立的新 Amazon EBS 磁碟區和快照副本開啟自動加密？

簡短說明

依預設，不會加密新建立的 Amazon EBS 磁碟區。不過，您可以為在指定區域內建立的新 EBS 磁碟區和快照副本開啟預設加密。若要開啟預設加密，請使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台。

在預設情況下開啟加密之前，請注意下列事項：

• 預設加密是區域特定的設定。為某個區域開啟加密後，您無法針對該區域中的個別磁碟區或快照關閉加密。
• 開啟預設加密後，僅限在執行個體類型支援 Amazon EBS 加密時，才能啟動執行個體。
• 依預設開啟加密功能時，變更不會影響現有未加密或加密的資源。根據預設，加密組態變更僅會影響您在開啟加密後建立的磁碟區和快照副本。
• 如果預設已開啟加密，且您使用 AWS Server Migration Service 時遇到差異複寫失敗，則依預設關閉加密。對於負載平移遷移，最佳實務是使用 Application Migration Service。

解決方法

若要依預設開啟加密，請完成下列步驟：

1. 開啟 Amazon EC2 主控台。
2. 選取適當的區域。
3. 在導覽窗格中，選擇 EC2 儀表板。
4. 選擇資料保護與安全性。
5. 在 EBS 加密區段中，選擇管理。
6. 針對一律加密新的 EBS 磁碟區，選取啟用。
7. 針對預設加密金鑰，選取要設為預設值的金鑰。
8. 選取「更新 EBS 加密」。

視需要對其他區域重複這些步驟。

**注意：**如果您選取預設服務金鑰 (aws/ebs) 做為預設加密金鑰，則您無法跨帳戶共用加密磁碟區。若要進一步了解 AWS KMS 金鑰，請參閱 AWS KMS 概念。