如何安全地配置 AWS EC2 实例( 三 ) _AWS

要使用 AWS CLI 为 AWS 账户启用默认加密，可以使用以下步骤：

导航到 EC2 仪表板页面并单击“EBS 加密”链接。

文章插图

选中“始终加密新 EBS 卷”设置的复选框“启用”，然后单击“更新 EBS 加密”按钮。

文章插图

使用 AWS CLI 启用加密
要使用 AWS CLI 为 AWS 账户默认启用加密，可以使用以下命令：
aws ec2 enable-ebs-encryption-by-default

补充说明
上述配置会加密在账户中创建的新 EBS 卷。要加密现有的卷，AWS 的文档可以作为参考。

加密 EBS 快照
EBS 快照用作 EBS 卷的备份，可用于恢复实例状态、从备份中启动新实例等。由于 EBS 快照本质上等同于 EBS 卷本身，因此确保快照及其加密对应的 EBS 卷是必要的。
EC2 快照的一个很好的特性是，当为加密卷创建快照时，默认情况下该快照也会被加密。这消除了对启用 EBS 加密设置后创建的快照的加密需求，我们在上一节中配置了加密 EBS 卷。话虽如此，可能存在我们需要加密的未加密旧快照，这可以通过创建未加密快照的副本来完成。对于新复制的快照，我们将启用加密。

通过控制台为快照启用加密
要通过控制台为现有的未加密快照启用加密，可以执行以下步骤：

导航到 EC2 仪表板。
单击“Elastic Block Storage”子菜单下的“Snapshots”链接。
选择要为其制作加密副本的快照，单击“操作”下拉菜单，然后单击“复制快照”选项。

文章插图

在“复制快照”页面中，确保选中“加密”部分下的“加密此快照”复选框，然后单击“复制快照”按钮。

文章插图

或者，可以选择不同的 KMS 密钥来代替默认密钥。

使用 AWS CLI 为快照启用加密
要使用 AWS CLI 为现有快照启用加密，可以运行以下命令：
aws ec2 copy-snapshot --source-region --source-snapshot-id --encrypted --kms-key-id

使用可信 AMI
Amazon 系统映像或 AMI 是 EC2 实例的启动配置包，需要在启动实例时指定。这些 AMI 可以由任何人创建，并与特定的 AWS 账户共享，或者通过将其公开来与所有人共享。这可能导致共享恶意 AMI 的可能性。因此，作为一项安全措施，我们应该为我们的实例自己创建和使用 AMI，或者使用仅由受信任的供应商发布的公共 AMI 。Amazon linux Image 就是这样一种受信任的 AMI，它由 Amazon 自己创建和维护。其他镜像也可以信任，尽管基于供应商，而不是名称，例如，可以创建镜像并将其命名为 Ubuntu，但发布者实际上可能与维护和发布 Ubuntu 操作系统的 Canonical Group 没有关联。
在启动映像时选择的 AMI 并不完全是与实例关联的配置，因此在此安全措施的情况下无需采取特定步骤。正在使用的 AMI 需要在使用前和启动实例时进行信任审查：