¿Cómo cifrar volúmenes EBS de una instancia EC2 en ejecución?

Hoy en día, el cifrado de los datos en reposo es obligatorio, especialmente si se almacenan en algún lugar de la nube pública. Es necesario cumplir con varios requisitos de cumplimiento como PCI DSS.

Usaremos AWS KMS para el cifrado de volúmenes de EBS. AWS tiene una clave predeterminada para el cifrado de volumen de EBS: aws/ebs, puede usarla o crear la suya propia.

Crear clave KMS:

Inicie sesión en la cuenta de AWS y vaya a IAM, claves de cifrado , seleccione la región en la que desea usar la clave y cree la clave.

Consola de AWS IAM KMS

Deberá proporcionar:- Nombre de alias (obligatorio), -Etiqueta (opcional), -Usuario de IAM que tiene privilegios administrativos sobre esta clave en particular, -Usuarios y roles de IAM que pueden usar esta clave para cifrar y descifrar datos desde aplicaciones y al utilizar los servicios de AWS integrados con KMS.

Ahora que tenemos la clave lista para usar para el cifrado, siga los pasos a continuación para completar la tarea: 1. Detenga su instancia EC2 . 2. Cree una instantánea de EBS del volumen que desea cifrar. 3. Copie la instantánea de EBS, cifrando la copia en el proceso usando la clave creada anteriormente. 4. Cree un nuevo volumen de EBS a partir de su nueva instantánea de EBS cifrada. El nuevo volumen de EBS se cifrará. 5. Separe el volumen de EBS original y adjunte su nuevo volumen de EBS cifrado, asegurándose de que coincida con el nombre del dispositivo (/dev/xvda1, etc.)6. Inicie la instancia EC2.

Ahora tiene una instancia EC2 con volúmenes EBS cifrados. Tenga en cuenta que no elimine la clave KMS en uso. Eliminar una clave hace que todos los datos cifrados con esa clave sean irrecuperables.

Eso es todo. Gracias por leer :) ¡Feliz Cloud Computing!