作为一项要求,我需要使用客户KMS加密我的所有EBS卷(而不是de fault aws / ebs one)
在LaunchConfig的BlockDeviceMappings属性中,我确实看到了一个属性“Encrypted”但我没有看到指定自定义KMS 我看到一个snapshotId属性,它可以让我指向一个加密的快照,但这会如何表现?旋转的每个盒子是否会从该快照创建一个空卷?
实现这一目标的最佳方法是什么?我唯一的选择是在用户数据中创建卷并将其附加到那里吗?
答案 0 :(得分:1)
AWS AutoScaling组不支持在启动EC2实例时指定备用KMS密钥。
通过ec2:RunInstances,ec2:RequestSpotFleet或ec2:RequestSpotInstances运行EC2实例时,您可以指定用于加密EBS卷的备用KMS密钥。省略此KMS密钥时,将使用用于加密EBS快照的KMS密钥。
但是,Auto Scaling启动配置不支持KMS密钥规范。因此,在启动Auto Scaling组时,无法使用备用KMS密钥。将始终使用用于加密快照的KMS密钥。
来源:https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_Ebs.html