Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Activar el cifrado de Amazon EBS de manera predeterminada Puede configurar su AWS cuenta para aplicar el cifrado de los nuevos volúmenes y copias instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS creados al lanzar una instancia y las instantáneas que copia a partir de una instantánea sin cifrar. Para obtener ejemplos de la transición de recursos de EBS sin cifrar a recursos cifrados, consulte [Cifrar recursos no cifrados](ebs-encryption.md#encrypt-unencrypted). El cifrado de forma predeterminada no afecta a los volúmenes o las instantáneas de EBS existentes. **Consideraciones** + El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, puede deshabilitarlo para volúmenes o instantáneas individuales en esa región. + El cifrado de Amazon EBS es admitido por defecto en todos los tipos de instancias de la [generación actual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) y la [generación anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances). + Si copia una instantánea y la cifra con una clave de KMS nueva, se crea una copia completa (no progresiva). Esto da como resultado costos de almacenamiento adicionales. ------ #### [ Console ] **Para habilitar el cifrado de manera predeterminada en una región** 1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. En la barra de navegación, seleccione la región. 1. En el panel de navegación, seleccione **EC2 Dashboard (Panel de EC2)**. 1. En la esquina superior derecha de la página, elija **Account attributes (Atributos de cuenta)**, **Data protection and security (Protección de datos y seguridad)**. 1. En la sección **Cifrado de EBS**, elija **Gestionar**. 1. Seleccione **Habilitar**. La conserva Clave administrada de AWS con el alias `aws/ebs` creado en su nombre como clave de cifrado predeterminada o elige una clave de cifrado simétrica gestionada por el cliente. 1. Elija **Update EBS encryption (Actualizar el cifrado de EBS)**. ------ #### [ AWS CLI ] **Para ver la configuración predeterminada de cifrado** Utilice el comando [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html). + Para una región específica ``` aws ec2 get-ebs-encryption-by-default --region region ``` + Para todas las regiones de su cuenta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Para habilitar el cifrado de manera predeterminada** Utilice el comando [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html). + Para una región específica ``` aws ec2 enable-ebs-encryption-by-default --region region ``` + Para todas las regiones de su cuenta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Para deshabilitar el cifrado de manera predeterminada** Utilice el comando [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html). + Para una región específica ``` aws ec2 disable-ebs-encryption-by-default --region region ``` + Para todas las regiones de su cuenta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **Para ver la configuración predeterminada de cifrado** Utilice el cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html). + Para una región específica ``` Get-EC2EbsEncryptionByDefault -Region region ``` + Para todas las regiones de su cuenta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Para habilitar el cifrado de manera predeterminada** Utilice el cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html). + Para una región específica ``` Enable-EC2EbsEncryptionByDefault -Region region ``` + Para todas las regiones de su cuenta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Para deshabilitar el cifrado de manera predeterminada** Utilice el cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html). + Para una región específica ``` Disable-EC2EbsEncryptionByDefault -Region region ``` + Para todas las regiones de su cuenta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ No puede cambiar la clave de KMS que está asociada con una instantánea existente o un volumen cifrado. Sin embargo, puede asociar una Clave de KMS distinta durante la operación de copia de una instantánea, de modo que la instantánea copiada resultante se cifre mediante la nueva Clave de KMS.