В моем сценарии у меня есть несколько старых томов EBS, которые не зашифрованы. Чтобы удовлетворить новым корпоративным мерам безопасности, все данные должны быть зашифрованы, поэтому мне нужно составить план шифрования незашифрованных данных наименее разрушительным способом (в идеале без простоя)?
Может ли кто-нибудь подсказать, как лучше всего это сделать?
решение1
Вот шаги для шифрования тома EBS:
- Создать ключ шифрования IAM KMS
- Создать снимок корневого тома
- Скопируйте снимок, который включает опцию шифрования.
- Создать новый зашифрованный том из зашифрованного снимка
- Отсоедините существующий том и замените его зашифрованным томом.
Для получения более подробной информации вы можете прочитатьЭта статья.
решение2
Это можно сделать, но это запутанно. Корневые тома можно заменить на работающем экземпляре с помощью снимка или образа. Однако, если вы создадите снимок из недавно зашифрованного тома, это приведет к ошибке. Но вы можете создать образ из этого снимка, а затем корневой том можно заменить, не останавливая экземпляр. Вот шаги:
Создайте снимок незашифрованного тома
Создайте том из снимка и добавьте ключ шифрования. ВАЖНО: имя корневого устройства должно быть таким же. например: /dev/xvda
Создайте новый снимок зашифрованного тома
Создать образ из зашифрованного снимка
Заменить корневой том новым образом: Действия > Мониторинг и устранение неполадок > Заменить корневой том
Следует отметить, что с помощью этого метода нельзя менять ключи шифрования, можно только добавить один. Чтобы изменить его, экземпляр должен быть остановлен.
Несколько полезных советов:
отслеживать идентификаторы
используйте теги и описания для отслеживания.
убедитесь, что моментальные снимки и тома готовы и доступны.
убедитесь, что новое изображение имеет те же настройки, что и исходный экземпляр.
Более подробная информация здесь:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html