Зашифруйте корневой том EC2 при создании стека, используя формирование облака

Question

Работа над скриптом формирования облака, который создаст простой экземпляр ec2. здесь я хочу зашифровать корневой том во время запуска. можно создать отдельный EBS, зашифровать его и прикрепить как загрузочный том. но я не смог найти способ зашифровать его при запуске. Есть ли способ сделать это?

Заранее спасибо

Answer 1

Похоже, что AWS недавно выпустила функцию запуска экземпляра с зашифрованным томом на основе незашифрованного AMI. Запуск зашифрованных инстансов EC2 с поддержкой EBS из незашифрованных AMI за один шаг

С точки зрения CloudFormation необходимо перезаписать конфигурацию блочного устройства AMI. Так, например, вы можете написать так:

  BlockDeviceMappings:
  - DeviceName: "/dev/xvda"
    Ebs:
      VolumeSize: '8'
      Encrypted: 'true'

Это запустит экземпляр с зашифрованным корневым EBS из незашифрованного AMI с ключом KMS по умолчанию

Answer 2

Мы не можем зашифровать корневой том во время запуска. Вот что вам нужно сделать.

1. Всегда используйте пользовательские ключи KMS.
2. Если у вас есть незашифрованный AMI, просто скопируйте AMI в тот же регион и используйте там параметр шифрования.
3. Тогда используйте этот AMI в своей облачной информации.