Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Volume Amazon EBS yang didukung untuk pemindaian malware
Di semua Wilayah AWS tempat GuardDuty mendukung fitur Perlindungan Malware untuk EC2 fitur, Anda dapat memindai volume Amazon EBS yang tidak terenkripsi atau dienkripsi. Anda dapat memiliki volume Amazon EBS yang dienkripsi dengan salah satu Kunci yang dikelola AWSatau kunci yang dikelola pelanggan. Saat ini, beberapa Wilayah tempat Perlindungan Malware EC2 tersedia, dapat mendukung kedua cara untuk mengenkripsi volume Amazon EBS Anda, sementara yang lain hanya mendukung kunci yang dikelola pelanggan. Untuk informasi tentang Wilayah yang didukung, lihat danGuardDuty akun layanan oleh Wilayah AWS. Untuk informasi tentang Wilayah yang GuardDuty tersedia tetapi Perlindungan Malware untuk tidak EC2 tersedia, lihatKetersediaan fitur khusus wilayah.
Daftar berikut menjelaskan kunci yang GuardDuty menggunakan apakah volume Amazon EBS Anda dienkripsi atau tidak:
-
Volume Amazon EBS yang tidak dienkripsi atau dienkripsi Kunci yang dikelola AWS- GuardDuty menggunakan kuncinya sendiri untuk mengenkripsi replika volume Amazon EBS.
Jika Wilayah Anda tidak mendukung pemindaian volume Amazon EBS yang dienkripsi dengan enkripsi Amazon EBS secara default, maka Anda perlu mengubah kunci default untuk menjadi kunci yang dikelola pelanggan. Ini akan membantu GuardDuty mengakses volume EBS ini. Dengan memodifikasi kunci, bahkan volume EBS future akan dibuat dengan kunci yang diperbarui sehingga GuardDuty dapat mendukung pemindaian malware. Untuk langkah-langkah untuk mengubah kunci default, lihat Ubah ID AWS KMS kunci default dari volume Amazon EBS di bagian berikutnya.
-
Volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan — GuardDuty menggunakan kunci yang sama untuk mengenkripsi volume replika EBS. Untuk informasi tentang kebijakan terkait AWS KMS enkripsi yang didukung, lihatIzin peran terkait layanan untuk Perlindungan Malware untuk EC2.
Ubah ID AWS KMS kunci default dari volume Amazon EBS
Saat Anda menggunakan buat volume Amazon EBS dengan menggunakan enkripsi Amazon EBS, dan tidak menentukan ID AWS KMS kunci, volume Amazon EBS Anda akan dienkripsi dengan kunci default untuk enkripsi. Saat Anda mengaktifkan enkripsi secara default, Amazon EBS akan secara otomatis mengenkripsi volume dan snapshot baru dengan menggunakan kunci KMS default Anda untuk enkripsi Amazon EBS.
Anda dapat memodifikasi kunci enkripsi default dan menggunakan kunci yang dikelola pelanggan untuk enkripsi Amazon EBS. Ini akan membantu GuardDuty mengakses volume Amazon EBS ini. Untuk mengubah ID kunci default EBS, tambahkan izin yang diperlukan berikut ke kebijakan IAM Anda —. ec2:modifyEbsDefaultKmsKeyId Setiap volume Amazon EBS yang baru dibuat yang Anda pilih untuk dienkripsi tetapi tidak menentukan ID kunci KMS terkait, akan menggunakan ID kunci default. Gunakan salah satu metode berikut untuk memperbarui ID kunci default EBS:
Untuk mengubah ID kunci KMS default dari volume Amazon EBS
Lakukan salah satu tindakan berikut:
-
Menggunakan API — Anda dapat menggunakan ModifyEbsDefaultKmsKeyIdAPI. Untuk informasi tentang cara melihat status enkripsi volume, lihat Membuat volume Amazon EBS.
-
Menggunakan AWS CLI perintah - Contoh berikut memodifikasi ID kunci KMS default yang akan mengenkripsi volume Amazon EBS jika Anda tidak memberikan ID kunci KMS. Pastikan untuk mengganti Region dengan ID kunci KM Anda. Wilayah AWS
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEPerintah di atas akan menghasilkan output yang mirip dengan output berikut:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Untuk informasi selengkapnya, lihat modify-ebs-default-kms-key-id
.
