Почему EBS нельзя принудительно шифровать в AWS?

Я предполагаю, что это было потому, что шифрование Amazon EBS не всегда было доступно. В какой-то момент это была добавленная функция, поэтому возможность использовать незашифрованный том остается.

Зашифрованные тома также усложняют некоторые задачи, такие как общий доступ к AMI или между учетными записями. Есть много причин предлагать незашифрованные тома.

Следовательно, было бы не лучшим решением "принудительное" шифрование.

Тем не менее, вы можете принудительно использовать шифрование в своей организации, но имейте в виду, что могут быть случаи, когда вы не хотите, чтобы оно активировалось.

Вероятно, это связано с тем, что это может изменить способ взаимодействия пользователей со своими ресурсами (и технически является критическим изменением, поскольку предыдущим значением по умолчанию были незашифрованные тома), поэтому пользователь должен понять эти изменения, прежде чем они фактически начнут использовать шифрование..

Шифрование в AWS активно поощряется, но, включив его для таких сервисов, как EBS, оно меняет некоторые потоки, например, снимки состояния будут зашифрованы. Если вам необходимо перенести их между регионами (или учетными записями) для аварийного восстановления, у вас есть дополнительные шаги, чтобы разрешить это.

Что касается безопасности, да, это лучше для безопасности в первую очередь с физического уровня AWS. Это означает, что если кто-либо получит физический доступ к хранилищу, он не сможет получить доступ к данным без доступа к ключу, используемому для шифрования тома. Однако, если кто-то подключится к вашему серверу по SSH, он будет вести себя как обычно.

AWS включил функцию для пользователей, которые должны были использовать ее по умолчанию, вам необходимо включить шифрование по умолчанию, чтобы включить ее.