제 시나리오에는 암호화되지 않은 오래된 EBS 볼륨이 있습니다. 새로운 기업 보안 조치를 충족하려면 모든 데이터를 암호화해야 하므로 최소한의 방해 없이(이상적으로 가동 중지 시간 없이) 암호화되지 않은 데이터를 암호화할 계획을 세워야 합니까?
누구든지 이것을 달성하는 가장 좋은 방법은 무엇인지 제안할 수 있습니까?
답변1
EBS 볼륨을 암호화하는 단계는 다음과 같습니다.
- IAM KMS 암호화 키 생성
- 루트 볼륨의 스냅샷 생성
- 암호화 옵션을 활성화하는 스냅샷 복사
- 암호화된 스냅샷에서 새 암호화된 볼륨 생성
- 기존 볼륨을 분리하고 암호화된 볼륨으로 교체합니다.
자세한 내용은 다음을 참조하세요.이 기사.
답변2
할 수는 있지만 복잡합니다. 스냅샷이나 이미지를 사용하여 실행 중인 인스턴스에서 루트 볼륨을 교체할 수 있습니다. 그러나 새로 암호화된 볼륨에서 스냅샷을 생성하면 오류가 발생합니다. 그러나 해당 스냅샷에서 이미지를 만든 다음 인스턴스를 중지하지 않고도 루트 볼륨을 교체할 수 있습니다. 단계는 다음과 같습니다.
암호화되지 않은 볼륨의 스냅샷 생성
스냅샷에서 볼륨을 생성하고 암호화 키를 추가합니다. 중요: 루트 장치 이름은 동일해야 합니다. 즉: /dev/xvda
암호화된 볼륨에서 새 스냅샷 생성
암호화된 스냅샷에서 이미지 생성
루트 볼륨을 새 이미지로 교체: 작업 > 모니터링 및 문제 해결 > 루트 볼륨 교체
한 가지 주의할 점은 이 방법으로는 암호화 키를 변경할 수 없으며 하나만 추가할 수 있다는 것입니다. 이를 변경하려면 인스턴스를 중지해야 합니다.
몇 가지 유용한 팁:
ID를 추적하다
추적하려면 태그와 설명을 사용하세요.
스냅샷과 볼륨이 완료되어 사용 가능한지 확인하세요.
새 이미지의 설정이 원본 인스턴스와 동일한지 확인하세요.
자세한 내용은 여기를 참조하세요:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html