在我的场景中,我有一些未加密的旧 EBS 卷。为了满足新的企业安全措施,所有数据都需要加密,因此我需要制定一个计划,以最少的破坏性方式(理想情况下没有停机时间)加密未加密的数据?
有人能建议实现这一目标的最佳方法是什么吗?
答案1
答案2
可以做到,但很复杂。可以使用快照或映像在正在运行的实例上替换根卷。但是,如果您从新加密的卷创建快照,则会导致错误。但是,您可以从该快照创建映像,然后可以在不停止实例的情况下替换根卷。步骤如下:
创建未加密卷的快照
从快照创建卷并添加加密密钥。重要提示:根设备名称必须相同。即:/dev/xvda
从加密卷创建新快照
从加密快照创建图像
使用新映像替换根卷:操作 > 监控和故障排除 > 替换根卷
需要注意的是,您无法使用此方法更改加密密钥,只能添加一个。要更改它,必须停止实例。
一些有用的提示:
跟踪 ID
使用标签和描述来跟踪。
确保快照和卷已完成并可用。
确保新图像具有与原始实例相同的设置。
更多信息请点击这里:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/replace-root.html