AWS CloudFormation Autoscaling создает зашифрованный корневой том EBS с ключом клиента

Question

AWS CloudFormation Autoscaling создает зашифрованный корневой том EBS с ключом клиента

Как требование, мне нужно, чтобы весь мой том EBS был зашифрован с помощью клиентской KMS (а не по ошибке aws/ebs one)

В свойствах LaunchConfig BlockDeviceMappings я вижу свойство "Зашифровано", но не вижу в любом случае указания пользовательского KMS. Я вижу свойство snapshotId, которое может позволить мне указывать на зашифрованный снимок, но как это будет вести себя? Будет ли каждое вращающееся окно создавать пустой том из этого снимка?

Каков наилучший способ достичь этого? Является ли мой единственный вариант создания тома в пользовательских данных и прикрепить его там?

4

amazon-web-services encryption autoscaling aws-kms launch-configuration

Источник

user967143 01 фев '18 в 16:57

1 ответ

Другие вопросы по тегам amazon-web-services encryption autoscaling aws-kms launch-configuration

user1574489 01 фев '18 в 20:06 2018-02-01 20:06 · Answer 1 · 2018-02-01 20:06

Группы автоматического масштабирования AWS не поддерживают указание альтернативных ключей KMS при запуске экземпляров EC2.

Когда вы запускаете экземпляр EC2 через ec2:RunInstances, ec2:RequestSpotFleet, или же ec2:RequestSpotInstancesВы можете указать альтернативный ключ KMS для шифрования томов EBS. Если этот ключ KMS не указан, вместо него используется ключ KMS, используемый для шифрования снимка EBS.

Однако конфигурации запуска с автоматическим масштабированием не поддерживают спецификацию ключей KMS. Таким образом, невозможно использовать альтернативный ключ KMS при запуске групп автоматического масштабирования. Ключ KMS, используемый для шифрования снимков, всегда будет использоваться.

Источник: https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_Ebs.html