암호화되지 않은 EBS를 암호화하도록 변환하는 방법

18

암호화되지 않은 이전 EBS 볼륨이 많이 있습니다. 새로운 회사 보안 조치를 만족시키기 위해서는 모든 데이터를 "휴식 상태로 암호화"해야하므로 모든 볼륨을 암호화하도록 변환해야합니다.

이것을 달성하는 가장 좋은 방법은 무엇입니까?

amazon-ec2  amazon-web-services  encryption  amazon-ebs 
회색
소스

답변:

37

암호화되지 않은 EBS 스냅 샷을 암호화 된 EBS 스냅 샷에 복사 할 수 있습니다. 따라서 다음 프로세스를 사용할 수 있습니다.

  1. EC2 인스턴스를 중지하십시오.
  2. 암호화하려는 볼륨의 EBS 스냅 샷을 만듭니다.
  3. 프로세스에서 사본을 암호화하여 EBS 스냅 샷을 복사하십시오.
  4. 암호화 된 새 EBS 스냅 샷에서 새 EBS 볼륨을 만듭니다. 새로운 EBS 볼륨이 암호화됩니다.
  5. 원래 EBS 볼륨을 분리하고 암호화 된 새 EBS 볼륨을 연결하여 장치 이름 (/ dev / xvda1 등)과 일치하는지 확인하십시오.
맷 하우저
소스
1
와. 그 매트를 몰랐다. 좋아요
그레이
2
간단하게하기 위해 암호화되지 않은 스냅 샷을 클릭하고 풀다운하여 복사 한 다음 암호화 버튼을 클릭하여 복사본을 암호화합니다.
그레이
4
하나의 작은 차. 인스턴스가 암호화 된 EBS도 지원하는지 확인하십시오. 그렇지 않은 인스턴스에있을 수 있습니다. 그러나 인스턴스를 중지 한 다음 유형을 변경하면됩니다.
Dave Beer
이 작업을 수행 한 후 어떤 이유로 암호화 된 볼륨은 읽기 전용으로 만 마운트됩니다.
Douglas Gaskell
당신은 남자입니다.
aran
0

[[이것은 정답이 아니며 현재 우리가하는 일이 아니라 다른 누군가가 "어려운 길"을하는 데 도움이 될 경우를 대비하여 여기에 남겨 두겠습니다. ]]

다음 프로세스는 기존 EBS 볼륨을 암호화 된 볼륨으로 변환하는 데 효과적이었습니다.

  • 의 볼륨 만들기 똑같은 크기 와 암호화되지 않은 볼륨과 동일한 가용성 영역에 있지만, 암호화가 활성화. 이전 볼륨의 이름이 "XYZ"인 경우 새 볼륨의 이름을 "New XYZ"로 지정하면 추적되지 않습니다. 기본 AWS 암호화 키를 사용하고 있지만 EBS 문서 에는 다른 옵션이 있습니다 .
  • 변환기 시스템으로 임시 Linux 인스턴스를 볼륨과 동일한 가용 영역으로 부팅하십시오. EBS 최적화 인스턴스가 마이그레이션을 더 빠르게 완료 할 수 있지만 실제로는 모든 규모의 인스턴스가 수행합니다.
  • 현재 암호화되지 않은 볼륨으로 인스턴스를 종료합니다.
  • 암호화되지 않은 볼륨을 인스턴스에서 분리하십시오.
  • 암호화되지 않은 볼륨을 변환기 인스턴스에 연결하십시오. 부착 대화 상자가 장착 중이라고 말하는 장치를 확인하십시오. 첫 번째 추가 볼륨은 다음과 같아야 /dev/sdf합니다.
  • 방금 생성 한 새 암호화 된 볼륨을 변환기 인스턴스에도 연결하십시오. 두 번째 추가 볼륨은 아마도입니다 /dev/sdg.
  • 변환기 인스턴스에 root 또는 sudo 액세스 권한이있는 사용자로 로그인하십시오.

  • 당신이 보면 /proc/diststats파일, 하단에 당신은 같은 것을 볼 수 xvdfxvdg첨부 추가 파티션에 어떤 대응을. 사용중인 Linux 커널 변형 / 버전에 따라 이름이 다를 수 있습니다. 질문이 있으면 /proc/diststats첨부하기 전에 파일을 확인하여 어떤 파티션이 추가 되었는지 확인할 수 있습니다 .

    ...
# root partition
202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32

  • dd소스 암호화되지 않은 볼륨에서 대상 암호화 된 볼륨으로 복사 하려면 다음 명령을 실행하십시오 . 경고 : 이 명령은 매우 파괴적 일 수 있습니다. 천천히하세요. 두 번 확인하고 한 번 자릅니다. 누군가 어깨 너머로 보도록하십시오. 이것들은 당신이 당신의 데이터를 버리지 않도록 도와 줄 것입니다. 조심하자!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg
  • dd 명령이 완료 될 때까지 기다렸다가 명령 프롬프트로 돌아가십시오. 우리의 경우 16GB 디스크는 ~ 5 분이 걸렸으므로 더 큰 연산을 수행 할 수 있습니다. 귀하의 마일리지가 다를 수 있습니다.
  • 변환기 인스턴스에서 암호화되지 않은 볼륨과 새 암호화 된 볼륨을 모두 분리하십시오.
  • 이전에 암호화되지 않은 볼륨을 사용하고 있던 인스턴스에 새 암호화 된 볼륨을 연결하고 부팅하십시오.
  • 시스템이 제대로 작동하는지 확인하기 위해 필요한 작업을 수행하십시오.
  • 볼륨을 "XYZ"에서 "Old XYZ"로 바꾸십시오. "New XYZ"의 이름을 "XYZ"로 바꿉니다. 문제가있는 경우 되돌려 야 할 경우를 대비하여 "Old XYZ"볼륨을 그대로 두십시오.
회색
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.