本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EBS 加密範例
當您建立加密的 EBS 資源時,其會透過您帳戶預設的 EBS 加密 KMS 金鑰 來加密,除非您在磁碟區創建參數中或者 AMI 或執行個體的區塊型設備映射中指定了不同的 受客戶管理的金鑰。
下列範例說明如何管理您磁碟區和快照的加密狀態。如需加密案例的完整清單,請參閱 [加密結果表](#ebs-volume-encryption-outcomes)。
**Topics**
+ [還原未加密磁碟區 (未啟用預設加密)](#volume-account-off)
+ [還原未加密磁碟區 (已啟用預設加密)](#volume-account-on)
+ [複製未加密快照 (未啟用預設加密)](#snapshot-account-off)
+ [複製未加密快照 (已啟用預設加密)](#snapshot-account-on)
+ [重新加密已加密的磁碟區](#reencrypt-volume)
+ [重新加密未加密快照](#reencrypt-snapshot)
+ [在加密和未加密磁碟區間遷移資料](#migrate-data-encrypted-unencrypted)
+ [加密結果](#ebs-volume-encryption-outcomes)
## 還原未加密磁碟區 (未啟用預設加密)
若未啟用預設加密,從未加密快照還原的磁碟區預設為未加密。不過,您可以設定 `Encrypted` 參數,並選擇性地設定 `KmsKeyId` 參數,來加密產生的磁碟區。下圖說明此程序。
![\[當您從未加密的快照建立磁碟區時,請指定 KMS 金鑰來建立加密的磁碟區。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/volume-encrypt-account-off.png)
如果您省略 `KmsKeyId` 參數,則產生的磁碟區會使用您 EBS 加密的預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同 KMS 金鑰。
如需詳細資訊,請參閱[建立 Amazon EBS 磁碟區](ebs-creating-volume.md)。
## 還原未加密磁碟區 (已啟用預設加密)
如果已啟用預設加密,必須對從未加密快照還原的磁碟區進行加密,而且不需要任何加密參數即可使用預設 KMS 金鑰。下圖顯示這個簡單的預設案例:
![\[當您從未加密快照建立磁碟區,但預設啟用加密時,我們會使用預設 KMS 金鑰來建立加密磁碟區。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/volume-encrypt-account-on.png)
如果想要將還原的磁碟區加密為對稱的客戶受管加密金鑰,則您必須同時提供 `Encrypted` 中顯示的 `KmsKeyId` 和 [還原未加密磁碟區 (未啟用預設加密)](#volume-account-off) 參數。
## 複製未加密快照 (未啟用預設加密)
若未啟用預設加密,未加密快照的複本預設為未加密。不過,您可以設定 `Encrypted` 參數,並選擇性地設定 `KmsKeyId` 參數,來加密產生的快照。如果您省略 `KmsKeyId`,則產生的快照會以預設 KMS 金鑰 來加密。您必須指定 KMS 金鑰 ID,才能將磁碟區加密為不同的對稱加密 KMS 金鑰。
下圖說明此程序。
![\[從未加密快照建立已加密快照。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)
將未加密的快照複製到加密的快照,然後從加密的快照建立磁碟區,即可以加密 EBS 磁碟區。如需詳細資訊,請參閱 [複製 Amazon EBS 快照](ebs-copy-snapshot.md)。
## 複製未加密快照 (已啟用預設加密)
如果已啟用預設加密,則必須對未加密快照的複本進行加密,而且若使用預設 KMS 金鑰,則不需要任何加密參數。下圖說明此預設案例:
![\[從未加密快照建立已加密快照。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)
## 重新加密已加密的磁碟區
如果 `CreateVolume` 動作在已加密快照上運作,您可以選擇使用不同 KMS 金鑰 重新加密。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在建立磁碟區期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動解密,然後以 KMS 金鑰 B 重新加密。
![\[複製已加密快照並將複本加密為新 KMS 金鑰。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/volume-reencrypt.png)
如需詳細資訊,請參閱[建立 Amazon EBS 磁碟區](ebs-creating-volume.md)。
## 重新加密未加密快照
在複製過程中加密快照的功能,可讓您將新的對稱加密 KMS 金鑰 套用至您所擁有的已加密快照。從結果複本還原的磁碟區也只能使用新的 KMS 金鑰 進行存取。下圖說明此程序。在此範例中,您擁有兩個 KMS 金鑰:KMS 金鑰 A 和 KMS 金鑰 B。來源快照以 KMS 金鑰 A 加密。在複製期間,若指定 KMS 金鑰 B 的 KMS 金鑰 ID 為參數,來源資料會自動以 KMS 金鑰 B 重新加密。
![\[複製已加密快照並將複本加密為新 KMS 金鑰。\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/images/snap-reencrypt.png)
在相關案例中,您可以選擇將新的加密參數套用到與您共享之快照的複本。根據預設,複本也會使用快照擁有者共享的 KMS 金鑰 進行加密。但是,我們建議您使用由您控制的不同 KMS 金鑰 建立共享快照的複本。這可在原始 KMS 金鑰 洩露時,或是擁有者因各種原因撤銷 KMS 金鑰 時,保護您存取磁碟區的權限。如需詳細資訊,請參閱 [加密和快照複製](ebs-copy-snapshot.md#creating-encrypted-snapshots)。
## 在加密和未加密磁碟區間遷移資料
當您可以存取加密和未加密磁碟區時,您可以自由的在其間傳輸資料。EC2 會透明的進行加密和解密操作。
### Linux 執行個體
例如,使用 **rsync** 命令來複製資料。在下列命令中,來源資料位於 `/mnt/source`,目標磁碟區則掛載於 `/mnt/destination`。
```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```
### Windows 執行個體
例如,使用 **robocopy** 命令來複製資料。在下列命令中,來源資料位於 `D:\`,目標磁碟區則掛載於 `E:\`。
```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```
我們建議使用資料夾,而非複製整個磁碟區,因為這可避免隱藏資料夾的潛在問題。
## 加密結果
下表說明每個可能設定組合的加密結果。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ebs/latest/userguide/encryption-examples.html)
\$1 這是帳戶 AWS 和區域用於 EBS 加密的預設客戶受管金鑰。根據預設,這是 AWS 受管金鑰 EBS 的唯一項目,您也可以指定客戶受管金鑰。
\$1\$1 這是啟動時針對磁碟區指定的客戶受管金鑰。此客戶受管金鑰是用來取代 AWS 帳戶和區域的預設客戶受管金鑰。