作为一项要求,我需要使用客户 KMS 加密我的所有 EBS 卷(而不是默认 aws/ebs 加密)
在 LaunchConfig 的 BlockDeviceMappings 属性中,我确实看到了一个属性“Encrypted”,但我没有看到指定自定义 KMS 我看到了一个可以让我指向加密快照的 snapshotId 属性,但这会如何表现?每个旋转的盒子都会从该快照中创建一个空卷吗?
实现这一目标的最佳方法是什么?我唯一的选择是在用户数据中创建卷并将其附加到那里吗?
问问题
981 次
1 回答
1
AWS AutoScaling 组不支持在启动 EC2 实例时指定备用 KMS 密钥。
ec2:RunInstances当您通过、ec2:RequestSpotFleet或运行 EC2 实例时ec2:RequestSpotInstances,您可以指定用于加密 EBS 卷的备用 KMS 密钥。当省略此 KMS 密钥时,将使用用于加密 EBS 快照的 KMS 密钥。
但是,Auto Scaling 启动配置不支持 KMS 密钥规范。因此,在启动 Auto Scaling 组时无法使用备用 KMS 密钥。将始终使用用于加密快照的 KMS 密钥。
来源:https ://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_Ebs.html
于 2018-02-01T20:06:42.713 回答