У меня есть шаблон CloudFormation, который создал необходимую инфраструктуру для размещения веб-приложения в моей среде. Это включает в себя группу автоматического масштабирования и конфигурацию запуска:
"LaunchConfiguration": {
"Type": "AWS::AutoScaling::LaunchConfiguration",
"Properties": {
"AssociatePublicIpAddress": false,
"IamInstanceProfile": {
"Ref": "InstanceRoleInstanceProfile"
},
"ImageId": {
"Ref": "WindowsImage"
},
"InstanceType": {
"Ref": "InstanceType"
},
"SecurityGroups": [
{
...
}
],
"KeyName": {
"Ref": "KeyPairName"
},
"UserData": {
...
},
"BlockDeviceMappings": [
{
"DeviceName": "/dev/sda1",
"Ebs": {
"VolumeType": "gp2"
}
}
]
},
"Metadata": {
...
}
}
Сканер уязвимостей отметил риск из-за того, что загрузочный том экземпляра, выходящий из вышеуказанной конфигурации запуска, не был зашифрован.
Когда я пытаюсь зашифровать загрузочный том, изменив его конфигурацию в шаблоне следующим образом:
"BlockDeviceMappings": [
{
"DeviceName": "/dev/sda1",
"Ebs": {
"Encrypted": true,
"VolumeType": "gp2"
}
}
]
Я получаю следующую ошибку:
Запуск нового экземпляра EC2. Причина состояния: зашифрованный флаг не может
указывается, поскольку для устройства / dev / sda1 указан моментальный снимок.
Не удалось запустить экземпляр EC2.
Я прочитал, что вы можете зашифровать загрузочные тома с помощью
- раскрутить сервер из базы AMI
- сделать снимок
- скопировать этот снимок с шифрованием
- создать пользовательский AMI на основе этой копии снимка
- затем раскрутить новые серверы на основе моего зашифрованного AMI
- очистка всех серверов, снимков и созданных пользовательских AMI
Мне нужно CloudFormation для создания уже зашифрованных экземпляров EC2. Есть идеи, возможно ли это вообще?