Volumes Amazon EBS pris en charge pour l'analyse des programmes malveillants - Amazon GuardDuty
Modifier l'ID de clé KMS par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Volumes Amazon EBS pris en charge pour l'analyse des programmes malveillants

Dans tous les appareils compatibles Régions AWS GuardDuty avec la EC2 fonctionnalité Malware Protection for, vous pouvez scanner les volumes Amazon EBS chiffrés ou non chiffrés. Vous pouvez avoir des volumes Amazon EBS chiffrés avec l'une ou l'autre clé Clé gérée par AWSou une clé gérée par le client. À l'heure actuelle, certaines régions dans lesquelles la protection contre les programmes malveillants EC2 est disponible peuvent prendre en charge les deux méthodes de chiffrement de vos volumes Amazon EBS, tandis que d'autres ne prennent en charge que les clés gérées par le client. Pour plus d'informations sur les régions prises en charge, reportez-vous aux sections etGuardDuty comptes de service par Région AWS. Pour plus d'informations sur les régions où la protection contre les programmes malveillants GuardDuty EC2 est disponible mais pas disponible, consultezDisponibilité des fonctionnalités propres à la région.

La liste suivante décrit la clé qui permet de GuardDuty savoir si vos volumes Amazon EBS sont chiffrés ou non :

Modifier l'ID de AWS KMS clé par défaut d'un volume Amazon EBS

Lorsque vous créez un volume Amazon EBS à l'aide du chiffrement Amazon EBS, et que vous ne spécifiez pas d'ID de AWS KMS clé, votre volume Amazon EBS est chiffré avec une clé de chiffrement par défaut. Lorsque vous activez le chiffrement par défaut, Amazon EBS chiffre automatiquement les nouveaux volumes et les nouveaux instantanés à l'aide de votre clé KMS par défaut pour le chiffrement Amazon EBS.

Vous pouvez modifier la clé de chiffrement par défaut et utiliser une clé gérée par le client pour le chiffrement Amazon EBS. Cela facilitera l' GuardDutyaccès à ces volumes Amazon EBS. Pour modifier l'ID de clé EBS par défaut, ajoutez l'autorisation nécessaire suivante à votre politique IAM : ec2:modifyEbsDefaultKmsKeyId. Tout volume Amazon EBS nouvellement créé que vous choisissez de chiffrer, mais que vous ne spécifiez pas d'ID de clé KMS associé, utilisera l'ID de clé par défaut. Utilisez l'une des méthodes suivantes pour mettre à jour l'ID de clé par défaut d'EBS :

Pour modifier l'ID de clé KMS par défaut d'un volume Amazon EBS

Effectuez l’une des actions suivantes :

  • Utilisation d'une API — Vous pouvez utiliser l'ModifyEbsDefaultKmsKeyIdAPI. Pour plus d'informations sur la manière dont vous pouvez consulter l'état de chiffrement de votre volume, consultez Create Amazon EBS volume.

  • Utilisation de la AWS CLI commande : l'exemple suivant modifie l'ID de clé KMS par défaut qui cryptera les volumes Amazon EBS si vous ne fournissez pas d'ID de clé KMS. Assurez-vous de remplacer la région par l'identifiant Région AWS de votre clé KM.

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    La commande ci-dessus générera une sortie similaire à la sortie suivante :

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}

    Pour plus d'informations, consultez modify-ebs-default-kms-key-id.