Amazon EBS Encryption

在创建加密的 EBS 卷并将其附加到支持的实例类型后，将对以下类型的数据进行加密：

• 卷中的静态数据

• 在卷和实例之间移动的所有数据

• 从卷创建的所有快照

• 从这些快照创建的所有卷

加密未加密的资源

虽然没有直接的方法可以加密现有的未加密卷或快照，您可以使用 CreateVolume 或 CopySnapshot 操作加密现有未加密的数据。如果您启用了默认加密，AWS 使用您的默认 CMK 对生成的新卷或快照实施加密。即使您没有启用默认加密，您可以在 CreateVolume 或 CopySnapshot 中提供加密参数来单独加密资源。

 

从未加密快照还原的卷在默认情况下不加密。但是，您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的卷。下图说明了该过程。

 

 

未加密快照的副本在默认情况下不加密。但是，您可以设置 Encrypted 参数和可选的 KmsKeyId 参数来加密生成的快照。下图说明了该过程。