AWS docs говорит, что нужно сделать снимок существующего тома, создать новый зашифрованный том из snaphsot, размонтировать существующий том и смонтировать новый зашифрованный том. Это выглядит хорошо, есть ли лучшая практика, которой мы можем следовать / любой другой способ, чтобы автоматизировать это для примерно 100 экземпляров?
Также есть ли какая-либо роль / разрешение, которое мы должны прикрепить к экземпляру ec2, чтобы связаться с KMS получить CMK / DataKey?