Volúmenes de Amazon EBS compatibles con el análisis de malware
En todas aquellas Regiones de AWS en las que GuardDuty admite la característica de protección contra malware para EC2, puede analizar los volúmenes de Amazon EBS cifrados o sin cifrar. Puede tener volúmenes de Amazon EBS cifrados con una Clave administrada de AWS o una clave administrada por el cliente. Actualmente, algunas de las regiones en las que la protección contra malware para EC2 se encuentra disponible admiten ambas formas de cifrar los volúmenes de Amazon EBS, mientras que otras solo admiten la clave administrada por el cliente. Para obtener información acerca de las regiones de admitidas, consulte Cuentas de servicio de GuardDuty por Región de AWS. Para obtener información sobre las regiones en las que GuardDuty está disponible pero no está disponible Malware Protection for EC2, consulte Disponibilidad de características específicas por región.
En la siguiente lista se describe la clave que GuardDuty utiliza tanto si los volúmenes de Amazon EBS están cifrados como si no:
-
Volúmenes de Amazon EBS sin cifrar o cifrados con Clave administrada de AWS: GuardDuty utiliza su propia clave para cifrar las réplicas de volúmenes de Amazon EBS.
Si la región no admite el análisis de volúmenes de Amazon EBS cifrados con el cifrado de Amazon EBS de forma predeterminada, deberá modificar la clave predeterminada de modo que sea una clave administrada por el cliente. Esto ayudará a GuardDuty a acceder a estos volúmenes de EBS. Al modificar la clave, incluso los futuros volúmenes de EBS se crearán con la clave actualizada de modo que GuardDuty pueda admitir análisis de malware. Para conocer los pasos a seguir para modificar la clave predeterminada, consulte Modificar el ID de clave de AWS KMS predeterminada de un volumen de Amazon EBS en la siguiente sección.
-
Volúmenes de Amazon EBS cifrados con clave administrada por el cliente: GuardDuty utiliza la misma clave para cifrar el volumen de EBS de réplica. Para obtener información sobre qué políticas relacionadas con el cifrado de AWS KMS son admitidas, consulte Permisos de rol vinculado al servicio para Malware Protection for EC2.
Modificar el ID de clave de AWS KMS predeterminada de un volumen de Amazon EBS
Al crear un volumen de Amazon EBS mediante el cifrado de Amazon EBS y no especificar el ID de clave de AWS KMS, el volumen de Amazon EBS se cifra con una clave de cifrado predeterminada. Al habilitar el cifrado de forma predeterminada, Amazon EBS cifrará automáticamente los nuevos volúmenes e instantáneas por medio de la clave de KMS predeterminada para el cifrado de Amazon EBS.
Puede modificar la clave de cifrado predeterminada y utilizar una clave administrada por el cliente para el cifrado de Amazon EBS. Esto ayudará a GuardDuty a acceder a estos volúmenes de Amazon EBS. Para modificar la ID de clave predeterminada de EBS, agregue el siguiente permiso necesario a su política de IAM: ec2:modifyEbsDefaultKmsKeyId. Cualquier volumen de Amazon EBS recién creado que elija cifrar, pero no especifique un ID de clave de KMS asociada, utilizará el ID de clave predeterminada. Utilice uno de los siguientes métodos para actualizar el ID de clave predeterminada de EBS:
Modificación de la ID de clave de KMS predeterminada de un volumen de Amazon EBS
Realice una de las siguientes acciones:
-
Uso de una API: puede utilizar la API ModifyEbsDefaultKmsKeyId. Para obtener información sobre cómo puede ver el estado de cifrado del volumen, consulte Crear volumen de Amazon EBS.
-
Uso de comandos de la AWS CLI: el siguiente ejemplo modifica la ID de clave de KMS predeterminada que cifrará los volúmenes de Amazon EBS si no proporciona una ID de clave de KMS. Asegúrese de sustituir la región por la Región de AWS de su ID de clave de KMS.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEEl comando anterior generará un resultado similar al siguiente:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Para obtener más información, consulte modify-ebs-default-kms-key-id
.
