Criptografia de volume raiz AWS

Aqui estão as etapas para criptografar o volume EBS:

• Criar chave de criptografia IAM KMS
• Crie um instantâneo do volume raiz
• Copie um instantâneo que habilite a opção de criptografia
• Crie um novo volume criptografado a partir de um instantâneo criptografado
• Desanexe o volume existente e substitua-o pelo volume criptografado

Para mais informações você pode lerEste artigo.

Isso pode ser feito, mas é complicado. Os volumes raiz podem ser substituídos em uma instância em execução usando um snapshot ou uma imagem. No entanto, se você criar um instantâneo a partir de um volume recém-criptografado, isso resultará em um erro. Porém, você pode criar uma imagem desse instantâneo e então o volume raiz pode ser substituído sem interromper a instância. Aqui estão as etapas:

1. Crie um instantâneo do volume não criptografado

2. Crie um volume a partir do instantâneo e adicione a chave de criptografia. IMPORTANTE: o nome do dispositivo raiz deve ser o mesmo. ou seja: /dev/xvda

3. Crie um novo instantâneo do volume criptografado

4. Crie uma imagem do instantâneo criptografado

5. Substitua o volume raiz pela nova imagem: Ações > Monitorar e solucionar problemas > Substituir volume raiz

Uma coisa a notar é que você não pode alterar as chaves de criptografia com este método, apenas adicione uma. Para alterá-lo, a instância deve ser interrompida.

Algumas dicas úteis:

• acompanhar os IDs

• use tags e descrições para acompanhar.

• certifique-se de que os snapshots e volumes foram concluídos e estão disponíveis.

• certifique-se de que a nova imagem tenha as mesmas configurações da instância original.

Mais informações aqui:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html