暗号化されていないEBSを暗号化する方法

18

暗号化されていない古いEBSボリュームがいくつかあります。新しい企業のセキュリティ対策を満たすには、すべてのデータを「保管時に暗号化」する必要があるため、暗号化するすべてのボリュームを変換する必要があります。

これを達成する最良の方法は何ですか?

amazon-ec2  amazon-web-services  encryption  amazon-ebs 
グレー
ソース

回答:

37

暗号化されていないEBSスナップショットを暗号化されたEBSスナップショットにコピーすることは可能です。したがって、次のプロセスを使用できます。

  1. EC2インスタンスを停止します。
  2. 暗号化するボリュームのEBSスナップショットを作成します。
  3. EBSスナップショットをコピーし、プロセスでコピーを暗号化します。
  4. 新しい暗号化されたEBSスナップショットから新しいEBSボリュームを作成します。新しいEBSボリュームは暗号化されます。
  5. 元のEBSボリュームをデタッチし、新しい暗号化されたEBSボリュームをアタッチし、デバイス名(/ dev / xvda1など)と一致することを確認します
マット・ハウザー
ソース
1
ワオ。そのマットを知りませんでした。良いもの。
グレー
2
丁寧にするには、暗号化されていないスナップショットをクリックし、プルダウンしてコピーし、暗号化ボタンをクリックしてコピーを暗号化します。
グレー
4
1つの小さな落とし穴。インスタンスが暗号化されたEBSもサポートしていることを確認してください。そうでないインスタンスにいる可能性があります。ただし、インスタンスを停止してからタイプを変更するだけです。
デイブビール
何らかの理由でこれを行った後、暗号化されたボリュームは読み取り専用としてのみマウントされます...
ダグラスガスケル
あなた、男は男です。
アラン
0

[[これは正しい答えではなく、今のやり方ではないが、他の誰かがそれを「ハードな方法」で行うためのユーティリティを見つけた場合に備えて、ここに残す。]]

次のプロセスは、既存のEBSボリュームを暗号化ボリュームに変換するのに役立ちました。

  • 暗号化されていないボリュームと正確同じサイズの同じ可用性ゾーンに、暗号化を有効にしてボリュームを作成します。古いボリュームの名前が「XYZ」の場合、新しいボリュームに「New XYZ」という名前を付けて、紛失しないようにします。デフォルトのAWS暗号化キーを使用していますが、EBSドキュメントには他のオプションがあります。
  • 一時的なLinuxインスタンスをコンバーターマシンとして起動し、ボリュームと同じアベイラビリティゾーンに入れます。EBSに最適化されたインスタンスは移行をより速く完了することができますが、実際にはあらゆるサイズのインスタンスが対応します。
  • 現在の暗号化されていないボリュームでインスタンスをシャットダウンします。
  • インスタンスから暗号化されていないボリュームをデタッチします。
  • 暗号化されていないボリュームをコンバーターインスタンスに接続します。接続ダイアログにマウントされていると表示されているデバイスを確認します。最初の追加ボリュームはのようなものでなければなりません/dev/sdf
  • 作成したばかりの新しい暗号化ボリュームをコンバーターインスタンスにも接続します。2番目の追加ボリュームはおそらくになります/dev/sdg
  • ルートまたはsudoアクセス権を持つユーザーとしてコンバーターインスタンスにログインします。

  • あなたが見れば/proc/diststatsファイル、一番下に次のようなものが表示されるはずですxvdfし、xvdg付属の追加のパーティションにその対応します。名前は、使用しているLinuxカーネルバリアント/バージョンによって異なる場合があります。質問がある場合は、/proc/diststats添付する前にファイルをチェックして、追加されているパーティションを確認できます。

    ...
# root partition
202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32

  • 次のddコマンドを実行して、ソースの暗号化されていないボリュームから宛先の暗号化されたボリュームにコピーします。 警告:このコマンドは非常に破壊的です。ゆっくりしてください。2回確認し、1回切ります。誰かに肩越しに見てもらう。これらは、データを破棄するのに役立ちます。そこに注意しましょう!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg
  • ddコマンドが終了するのを待って、コマンドプロンプトに戻ります。私たちのインスタンスでは、16GBのディスクに約5分かかったため、より大きな計算を行うことができます。あなたのマイレージは異なる場合があります。
  • 暗号化されていないボリュームと新しい暗号化されたボリュームの両方をコンバーターインスタンスからデタッチします。
  • 以前に暗号化されていないボリュームを使用していたインスタンスに新しい暗号化されたボリュームを接続して起動します。
  • 起動したら、システムが適切に見えることを検証するために必要なことを行います。
  • ボリュームの名前を「XYZ」から「Old XYZ」に変更します。「New XYZ」の名前を「XYZ」に変更します。問題が発生した場合に元に戻す必要がある場合に備えて、「Old XYZ」ボリュームを残します。
グレー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.