As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Habilitar a criptografia do Amazon EBS por padrão Você pode configurar sua AWS conta para aplicar a criptografia dos novos volumes do EBS e das cópias de snapshot que você criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte [Criptografar recursos não criptografados](ebs-encryption.md#encrypt-unencrypted). Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes. **Considerações** + A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região. + A criptografia do Amazon EBS é compatível, por padrão, com todos os tipos de instância da [geração atual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) e da [geração anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances). + Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento. ------ #### [ Console ] **Para ativar a criptografia por padrão para uma região** 1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Na barra de navegação, selecione a região. 1. No painel de navegação, selecione **EC2 Dashboard (Painel do EC2)**. 1. No canto superior direito da página, escolha **Atributos da conta**, **Proteção de dados e segurança**. 1. Na seção **Criptografia do EBS**, escolha **Gerenciar**. 1. Selecione **Enable** (Habilitar). Você mantém o Chave gerenciada pela AWS com o alias `aws/ebs` criado em seu nome como a chave de criptografia padrão ou escolhe uma chave de criptografia simétrica gerenciada pelo cliente. 1. Escolha **Update EBS encryption (Atualizar criptografia do EBS)**. ------ #### [ AWS CLI ] **Para visualizar a criptografia por configuração padrão** Use o comando [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html). + Para uma região específica ``` aws ec2 get-ebs-encryption-by-default --region region ``` + Para todas as regiões em sua conta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Para habilitar a criptografia por padrão** Use o comando [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html). + Para uma região específica ``` aws ec2 enable-ebs-encryption-by-default --region region ``` + Para todas as regiões em sua conta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Para desabilitar a criptografia por padrão** Use o comando [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html). + Para uma região específica ``` aws ec2 disable-ebs-encryption-by-default --region region ``` + Para todas as regiões em sua conta ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **Para visualizar a criptografia por configuração padrão** Use o cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html). + Para uma região específica ``` Get-EC2EbsEncryptionByDefault -Region region ``` + Para todas as regiões em sua conta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Para habilitar a criptografia por padrão** Use o cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html). + Para uma região específica ``` Enable-EC2EbsEncryptionByDefault -Region region ``` + Para todas as regiões em sua conta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Para desabilitar a criptografia por padrão** Use o cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html). + Para uma região específica ``` Disable-EC2EbsEncryptionByDefault -Region region ``` + Para todas as regiões em sua conta ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ Não é possível alterar a chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.