Я создаю сценарий формирования облаков, который будет иметь ELB. В конфигурации запуска Auto Scaling я хочу добавить зашифрованный объем EBS. Не удалось найти зашифрованное свойство с помощью blockdevicemapping. Мне нужно зашифровать громкость. Как подключить зашифрованный том EBS к экземпляру EC2 с помощью конфигурации автоматического масштабирования запуска?AWS Auto Scaling Launch Configuration Зашифрованный пример создания облака EBS
Нет такого свойства по какой-то странной причине при использовании конфигураций запуска, однако оно присутствует при использовании blockdevicemappings с простыми экземплярами EC2. См launchconfig-blockdev против ec2-blockdev
Таким образом, вы должны либо использовать простые экземпляры вместо автомасштабирование групп, или вы можете попробовать это временное решение:
SnapshotIds принимаются для launchconf blockdev тоже, и, как указано here " Снимки, взятые из зашифрованных томов, автоматически зашифровываются. Тома, созданные из зашифрованных снимков, также автоматически зашифровываются ».
Создайте снимок с зашифрованного пустым объемом EBS и используйте его в шаблоне CloudFormation. Если ваш шаблон должен работать в нескольких регионах, то, конечно, вам нужно будет создать моментальный снимок в каждом регионе и использовать сопоставление в шаблоне.
Как говорит Мартон, такого свойства нет (к сожалению, для CloudFormation часто требуется некоторое время, чтобы догнать основные API-интерфейсы).
Обычно каждый зашифрованный том, который вы создаете, будет иметь другой ключ. Однако при использовании обходного пути (использование зашифрованного моментального снимка) результирующие зашифрованные тома наследуют ключ шифрования от моментального снимка, и все будет одинаковым.
С точки зрения криптографии это плохая идея, поскольку у вас потенциально есть несколько разных томов и моментальных снимков с одним и тем же ключом. Если у злоумышленника есть доступ ко всем этим, он может потенциально использовать различия, чтобы легче выводить информацию о ключе.
Альтернативой является создание сценария, который создает и прикрепляет новый зашифрованный том во время загрузки экземпляра. Это довольно легко сделать. Вам необходимо предоставить разрешения экземпляра для создания и прикрепления томов и либо установить инструмент AWS CLI, либо библиотеку для предпочтительного языка сценариев. У вас есть, что вы можете, из загружаемого экземпляра, создать том и прикрепить его.
Вы можете найти отправную точку для такого сценария здесь: https://github.com/guardian/machine-images/blob/master/packer/resources/features/ebs/add-encrypted.sh
Существует тип устройства AutoScaling EBS блок, который обеспечивает возможность «зашифрованной»:
Надеется, что это помогает!