Cifrado de volumen raíz de AWS

Estos son los pasos para cifrar el volumen de EBS:

• Crear clave de cifrado IAM KMS
• Crear instantánea del volumen raíz
• Copie una instantánea que habilite la opción de cifrado
• Cree un nuevo volumen cifrado a partir de una instantánea cifrada
• Separe el volumen existente y reemplácelo con el volumen cifrado

Para más información puedes leerEste artículo.

Se puede hacer pero es complicado. Los volúmenes raíz se pueden reemplazar en una instancia en ejecución mediante una instantánea o una imagen. Sin embargo, si crea una instantánea a partir de un volumen recién cifrado, se producirá un error. Pero puede crear una imagen a partir de esa instantánea y luego se puede reemplazar el volumen raíz sin detener la instancia. Aquí están los pasos:

1. Cree una instantánea del volumen no cifrado

2. Cree un volumen a partir de la instantánea y agregue la clave de cifrado. IMPORTANTE: el nombre del dispositivo raíz debe ser el mismo. es decir: /dev/xvda

3. Cree una nueva instantánea del volumen cifrado

4. Crea una imagen a partir de la instantánea cifrada

5. Reemplazar el volumen raíz con una nueva imagen: Acciones > Monitorear y solucionar problemas > Reemplazar volumen raíz

Una cosa a tener en cuenta es que no puedes cambiar las claves de cifrado con este método, solo agrega una. Para cambiarlo, se debe detener la instancia.

Algunos consejos útiles:

• realizar un seguimiento de las identificaciones

• utilice etiquetas y descripciones para realizar un seguimiento.

• asegúrese de que las instantáneas y los volúmenes hayan finalizado y estén disponibles.

• asegúrese de que la nueva imagen tenga la misma configuración que la instancia original.

Más información aquí:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html