在我的場景中,我有一些未加密的舊 EBS 磁碟區。為了滿足新的公司安全措施,所有資料都需要加密,因此我需要製定一個計劃,以破壞性最小的方式加密未加密的資料(理想情況下沒有停機)?
誰能建議實現此目標的最佳方法是什麼?
答案1
以下是加密 EBS 磁碟區的步驟:
- 建立 IAM KMS 加密金鑰
- 建立根磁碟區的快照
- 複製啟用加密選項的快照
- 從加密快照建立新的加密磁碟區
- 分離現有捲並將其替換為加密卷
欲了解更多信息,您可以閱讀本文。
答案2
這是可以做到的,但很複雜。可以使用快照或映像在正在執行的實例上取代根磁碟區。但是,如果從新加密的磁碟區建立快照,則會導致錯誤。但是,您可以從該快照建立映像,然後可以在不停止實例的情況下替換根磁碟區。步驟如下:
建立未加密磁碟區的快照
從快照建立磁碟區並新增加密金鑰。重要提示:根設備名稱必須相同。即:/dev/xvda
從加密磁碟區建立新快照
從加密快照建立圖像
使用新映像取代根卷:操作 > 監控與故障排除 > 取代根卷
需要注意的一件事是,您無法使用此方法更改加密金鑰,只能添加一個。要更改它,必須停止實例。
一些有用的提示:
跟踪 id
使用標籤和描述來追蹤。
確保快照和磁碟區已完成且可用。
確保新圖像與原始實例具有相同的設定。
更多資訊請點這裡:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html