Volumes Amazon EBS compatíveis para verificação de malware
Em todas as áreas em Regiões da AWS que o GuardDuty oferece suporte ao recurso Proteção contra malware para EC2, verifique os volumes do Amazon EBS que não estão criptografados ou estão criptografados. É possível ter volumes do Amazon EBS criptografados com uma Chave gerenciada pela AWSou com a chave gerenciada pelo cliente. Atualmente, algumas das regiões em que a Proteção contra malware para o EC2 está disponível podem oferecer suporte às duas formas de criptografar seus volumes do Amazon EBS, enquanto outras oferecem suporte somente à chave gerenciada pelo cliente. Para obter informações sobre as regiões compatíveis, consulte Contas de serviço do GuardDuty por Região da AWS. Para obter informações sobre regiões em que o GuardDuty está disponível, mas a proteção contra malware para EC2 não está disponível, consulte Disponibilidade de atributos específicos da região.
A lista a seguir descreve a chave que o GuardDuty usa, independentemente dos volumes do Amazon EBS estarem ou não criptografados:
-
Volumes do Amazon EBS não criptografados ou criptografados com Chave gerenciada pela AWS: o GuardDuty usa sua própria chave para criptografar os volumes de réplica do Amazon EBS.
Se sua região não permitir a verificação de volumes do Amazon EBS que são criptografados com a criptografia do Amazon EBS por padrão, será preciso modificar a chave padrão para que se torne uma chave gerenciada pelo cliente. Isso ajudará o GuardDuty a acessar esses volumes do EBS. Ao modificar a chave, até mesmo os volumes futuros do EBS serão criados com a chave atualizada para que o GuardDuty possa permitir verificações de malware. Para saber as etapas de modificação da chave padrão, consulte Modificar o ID da chave padrão AWS KMS de um volume do Amazon EBS a próxima seção.
-
Volumes do Amazon EBS que são criptografados com a chave gerenciada pelo cliente: o GuardDuty usa a mesma chave para criptografar a réplica do volume do EBS. Para obter informações sobre quais políticas relacionadas à AWS KMS criptografia são aceitas, consulte Permissões de função vinculada ao serviço para Proteção contra malware para EC2.
Modificar o ID da chave padrão AWS KMS de um volume do Amazon EBS
Ao criar um volume do Amazon EBS usando a criptografia do Amazon EBS e não especificar o ID da AWS KMS chave, o volume do Amazon EBS é criptografado com uma chave padrão para criptografia. Ao habilitar a criptografia por padrão, o Amazon EBS criptografará automaticamente novos volumes e snapshots usando sua chave KMS padrão para a criptografia do Amazon EBS.
É possível modificar a chave de criptografia padrão e usar uma chave gerenciada pelo cliente para a criptografia do Amazon EBS. Isso ajudará o GuardDuty a acessar esses volumes do Amazon EBS. Para modificar o ID da chave padrão do EBS, adicione a seguinte permissão necessária à sua política do IAM: ec2:modifyEbsDefaultKmsKeyId. Qualquer volume recém-criado do Amazon EBS que venha a ser criptografado, mas que não especifique um ID de chave KMS associado, usará o ID de chave padrão. Use um dos métodos a seguir para atualizar o ID da chave padrão do EBS:
Para modificar o ID da chave do KMS padrão de um volume do Amazon EBS
Execute um destes procedimentos:
-
Usando uma API: você pode usar a API ModifyEbsDefaultKmsKeyId. Para obter informações sobre como é possível visualizar o status de criptografia do seu volume, consulte Criar volume do Amazon EBS.
-
Usando o comando AWS CLI: o exemplo a seguir modifica o ID da chave do KMS padrão que criptografará volumes do Amazon EBS se você não fornecer um ID de chave do KMS. Certifique-se de substituir a região pelo Região da AWS do ID de sua chave do KMS.
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLEO comando acima gerará uma saída semelhante à seguinte saída:
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }Para obter mais informações, consulte modify-ebs-default-kms-key-id
.
