私のシナリオでは、暗号化されていない古い EBS ボリュームがいくつかあります。新しい企業のセキュリティ対策を満たすには、すべてのデータを暗号化する必要があるため、暗号化されていないデータを最も中断の少ない方法で (理想的にはダウンタイムなしで) 暗号化する計画を立てる必要がありますか?
これを達成するための最善の方法は何か誰か提案できますか?
答え1
EBS ボリュームを暗号化する手順は次のとおりです。
- IAM KMS暗号化キーを作成する
- ルートボリュームのスナップショットを作成する
- 暗号化オプションを有効にするスナップショットをコピーする
- 暗号化されたスナップショットから新しい暗号化ボリュームを作成する
- 既存のボリュームを切り離し、暗号化されたボリュームに置き換えます
詳細については、以下をお読みください。この記事。
答え2
実行は可能ですが、複雑です。ルート ボリュームは、スナップショットまたはイメージを使用して、実行中のインスタンスで置き換えることができます。ただし、新しく暗号化されたボリュームからスナップショットを作成すると、エラーが発生します。ただし、そのスナップショットからイメージを作成すれば、インスタンスを停止せずにルート ボリュームを置き換えることができます。手順は次のとおりです。
暗号化されていないボリュームのスナップショットを作成する
スナップショットからボリュームを作成し、暗号化キーを追加します。重要: ルートデバイス名は同じである必要があります。例: /dev/xvda
暗号化されたボリュームから新しいスナップショットを作成する
暗号化されたスナップショットからイメージを作成する
ルートボリュームを新しいイメージに置き換える: アクション > 監視とトラブルシューティング > ルートボリュームを置き換える
注意すべき点は、この方法では暗号化キーを変更することはできず、追加することしかできないことです。変更するには、インスタンスを停止する必要があります。
役に立つヒント:
IDを追跡する
タグと説明を使用して追跡します。
スナップショットとボリュームが完了し、利用可能であることを確認します。
新しいイメージが元のインスタンスと同じ設定になっていることを確認します。
詳細はこちら:https://docs.aws.amazon.com/AWSEC2/latest/ユーザーガイド/replace-root.html