Получает ли экземпляр EC2 по умолчанию права на расшифровку ключа данных любого подключенного к нему тома EBS? Я не вижу никаких политик через роли, прикрепленные к экземпляру EC2, чтобы ограничить это поведение. Под шифрованием EBS я понимаю, что AWS сотрудники с прямым доступом к базовому оборудованию не могут просматривать ваши данные. Гипотетически, что если они раскрутят EC2, подключат базовое оборудование EBS и подключат том EBS на этом оборудовании к EC2? Разве они не увидят данные в незашифрованном формате? Более конкретно, какие другие элементы управления помимо шифрования предотвращают нарушение данных в случае прямого доступа в AWS или в этом случае достаточно лишь шифрования и безопасного хранения CMK?