Почему конфигурация обеда с автоматическим масштабированием AWS не позволяет зашифровать корневой том?

Я использую AMI на основе сообщества как часть конфигурации запуска с автоматическим масштабированием, и мне нужно зашифровать тома EBS. Когда я пытаюсь создать конфигурацию запуска, для свойства Encrypted корневого тома устанавливается значение No, и я не могу его изменить:

введите здесь описание изображения

Но если я попытаюсь запустить экземпляр ec2 напрямую, используя этот AMI, он предоставит параметр шифрования в разделе хранилища:

введите здесь описание изображения

Почему так? Как я могу применить шифрование к своей конфигурации запуска?


amazon-web-services amazon-ami amazon-ebs
person Nisman    schedule 10.11.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Это связано с тем, что в AMI, который вы используете для конфигурации запуска, не включено шифрование. Наведите курсор на «I» и прочитайте всплывающую подсказку: Volumes that are created from encrypted snapshots are automatically encrypted, and volumes that are created from unencrypted snapshots are automatically unencrypted. If no snapshot is selected, you can choose to encrypt the volume.

Вы можете либо добавить новый том и зашифровать его, либо создать AMI с зашифрованным томом.

Надеюсь это поможет.

РЕДАКТИРОВАТЬ Как указал Майкл - sqlbot, поскольку это AMI сообщества, вам необходимо создать копию AMI, чтобы зашифровать и защитить от снятия.

person matt45uk    schedule 10.11.2019
comment
Поскольку это AMI сообщества, совет должен заключаться в том, чтобы создать его копию для использования в вашей среде, а не использовать ее непосредственно в конфигурации запуска, потому что вы не можете контролировать, может ли и когда владелец/создатель AMI отозвать это, и в этот момент у вас есть большая проблема, если ваш ASG зависит от него. Зашифруйте свою копию, и экземпляры последуют. - person Michael - sqlbot; 11.11.2019
comment
@Michael-sqlbot: Если в AMI отключено шифрование, почему он предлагает шифрование при запуске одного экземпляра, но не при создании конфигурации запуска? Я испытываю такое же поведение с AMI AWS Ubuntu 18.04. - person Florian Pfisterer; 19.05.2020
comment
@FlorianPfisterer Я не знаю, то ли это просто потому, что так они его спроектировали, то ли, возможно, существуют внутренние соображения производительности, которые могут вступить в игру, если потребуется развернуть очень большое количество новых томов, созданных с помощью моментальных снимков, с недавно примененным шифрованием. . Шифрование тома, созданного из незашифрованного моментального снимка, означает, что все данные из моментального снимка должны быть прочитаны, зашифрованы и записаны в новый том, и эта работа по обработке, по-видимому, должна выполняться один раз для каждого тома... в то время как для уже зашифрованных моментальных снимков эта работа уже была сделана, однажды. - person Michael - sqlbot; 19.05.2020
comment
Хорошо, большое спасибо за последующее объяснение! @Майкл-sqlbot - person Florian Pfisterer; 19.05.2020