作为一项要求,我需要使用客户 KMS 加密我所有的 EBS 卷(而不是默认的 aws/ebs 一个)
在 LaunchConfig 的 BlockDeviceMappings 属性中,我确实看到了一个属性“加密”,但无论如何我都没有看到指定自定义 KMS
我看到一个 snapshotId 属性,它可以让我指向一个加密的快照,但这会如何表现?每个旋转的盒子都会从该快照创建一个空卷吗?
实现这一目标的最佳方法是什么?在用户数据中创建卷并将其附加到那里是我唯一的选择吗?
最佳答案
AWS AutoScaling 组不支持在启动 EC2 实例时指定备用 KMS key 。
当您通过 ec2:RunInstances 运行 EC2 实例时, ec2:RequestSpotFleet , 或 ec2:RequestSpotInstances ,您可以指定用于加密 EBS 卷的备用 KMS key 。当省略此 KMS key 时,将使用用于加密 EBS 快照的 KMS key 。
但是,Auto Scaling 启动配置不支持 KMS key 规范。因此,在启动 Auto Scaling 组时无法使用替代 KMS key 。将始终使用用于加密快照的 KMS key 。
来源:https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_Ebs.html
关于amazon-web-services - AWS CloudFormation Autoscaling 使用客户 key 创建加密的 EBS 根卷,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48567990/