您好我是AWS新手,我正在将AMI实例从一个可用区域移动到另一个可用区域,我想知道在将AMI从俄勒冈州复制到弗吉尼亚州时是否需要选择加密EBS快照选项。
如果我不加密快照,这是否意味着任何黑客都可以看到我的AMI航线从一个可用区到另一个可用区?
由于
答案 0 :(得分:3)
加密EBS快照的选项提供encryption-at-rest。这是为了防止有权访问底层硬件的人(如亚马逊员工)能够读取磁盘上的信息。
您担心有人可以看到区域之间传输的数据,这可以通过动态加密来解决。 AWS将自动使用SSL加密,以确保所传输的数据不会被任何人读取。
答案 1 :(得分:0)
通过公共网络(包括云)复制数据时,应始终使用加密。亚马逊为静态数据,AWS产品中的数据移动以及您创建的任何快照提供加密。移动数据时,他们建议使用自定义CMK,而不是标准CMK,然后允许个人用户访问该密钥。他们的文档有更多细节:http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html。
由于您无法直接更改卷的加密状态,因此可以加密快照。根据您的需要,您可能决定加密新卷或所有快照 - 无论可用区域如何。
如果您想了解有关管理EBS卷的更多信息,NetApp有一篇好文章here。