Como converter um EBS não criptografado para ser criptografado

18

Eu tenho vários volumes EBS mais antigos que não são criptografados. Para satisfazer as novas medidas de segurança corporativa, todos os dados precisam ser "criptografados em repouso", portanto, preciso converter todos os volumes a serem criptografados.

Qual é o melhor jeito de concluir isso?

amazon-ec2 amazon-web-services encryption amazon-ebs cinzento
fonte

Respostas:

37

É possível copiar um instantâneo do EBS não criptografado para um instantâneo do EBS criptografado. Portanto, o seguinte processo pode ser usado:

  1. Pare sua instância do EC2.
  2. Crie um instantâneo do EBS do volume que você deseja criptografar.
  3. Copie o instantâneo do EBS, criptografando a cópia no processo.
  4. Crie um novo volume EBS a partir do seu novo instantâneo criptografado do EBS. O novo volume EBS será criptografado.
  5. Desconecte o volume EBS original e anexe seu novo volume EBS criptografado, certificando-se de corresponder ao nome do dispositivo (/ dev / xvda1, etc.)
Matt Houser
fonte
11
Uau. Não sabia que matt. Um bom.
Grey
2
Para ser pedante, clique no instantâneo não criptografado, puxe para baixo para copiar e clique no botão criptografar para criptografar a cópia.
Grey
4
Uma pegadinha. Verifique se a sua instância também suporta EBS criptografado. É possível que você esteja em uma instância que não existe. Mas é apenas uma questão de parar a instância e depois alterar o tipo.
Dave Beer
Por alguma razão, depois de fazer isso, o volume criptografado será montado somente como somente leitura ...
Douglas Gaskell
Você, cara, é o HOMEM.
aran 26/04
0

[[Esta não é a resposta certa e não como fazemos as coisas agora, mas deixarei isso aqui caso alguém encontre alguma utilidade para fazê-lo da "maneira mais difícil". ]]

O processo a seguir funcionou bem para convertermos nossos volumes EBS existentes em volumes criptografados.

  • Crie um volume do mesmo tamanho exato e na mesma zona de disponibilidade que o volume não criptografado, mas com a criptografia ativada. Se o volume antigo for nomeado "XYZ", nomeie o novo volume como "New XYZ" para não perdê-lo de controle. Estamos usando as chaves de criptografia padrão da AWS, mas há outras opções nos documentos do EBS .
  • Inicialize uma instância linux temporária como a máquina do conversor na mesma zona de disponibilidade que o volume. Realmente qualquer instância de tamanho funcionará, embora as instâncias otimizadas do EBS possam concluir a migração mais rapidamente.
  • Encerre a instância com o volume não criptografado atual.
  • Desanexe o volume não criptografado da instância.
  • Anexe o volume não criptografado à instância do conversor. Assista ao dispositivo em que a caixa de diálogo anexar diz que está sendo montada. O primeiro volume adicional deve ser algo como /dev/sdf.
  • Anexe o novo volume criptografado que você acabou de criar também à instância do conversor. O segundo volume adicional provavelmente será /dev/sdg.
  • Efetue login na instância do conversor como root ou como um usuário com acesso sudo.

  • Se você olhar para o /proc/diststatsarquivo, na parte inferior deverá ver algo parecido xvdfe xvdgque corresponde às partições adicionais anexadas. Os nomes podem ser diferentes, dependendo da variante / versão do Linux Kernel que você está usando. Se houver alguma dúvida, você pode verificar o /proc/diststatsarquivo antes de anexá-lo para ver quais partições foram adicionadas.

    ...
# root partition
202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32

  • Execute o ddcomando a seguir para copiar do volume não criptografado de origem para o volume criptografado de destino. AVISO: Este comando pode ser extremamente destrutivo. Não tenha pressa. Verifique duas vezes, corte uma vez. Peça a alguém que olhe por cima do ombro. Isso ajudará você a descartar seus dados na lixeira. Vamos ter cuidado lá fora!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg
  • Aguarde o comando dd terminar e retorne ao prompt de comando. Em nossas instâncias, um disco de 16 GB levou aproximadamente 5 minutos para que você possa fazer as contas com maior tamanho. Sua milhagem pode variar.
  • Desanexe os volumes não criptografados e novos criptografados da instância do conversor.
  • Anexe o novo volume criptografado à instância que estava usando o volume não criptografado antes e inicie-o.
  • Quando surgir, faça o que você precisa fazer para validar que o sistema está bom.
  • Renomeie o volume de "XYZ" para "Old XYZ". Renomeie "Novo XYZ" para "XYZ". Deixe em torno do volume "Old XYZ" para o caso de precisar reverter se houver problemas.
cinzento
fonte