Come convertire un EBS non crittografato da crittografare

18

Ho un numero di vecchi volumi EBS che non sono crittografati. Nel soddisfare le nuove misure di sicurezza aziendale, tutti i dati devono essere "crittografati a riposo", quindi devo convertire tutti i volumi per essere crittografati.

Qual è il modo migliore per raggiungere questo obiettivo?

amazon-ec2  amazon-web-services  encryption  amazon-ebs 
Grigio
fonte

Risposte:

37

È possibile copiare un'istantanea EBS non crittografata in un'istantanea EBS crittografata. Quindi è possibile utilizzare il seguente processo:

  1. Ferma la tua istanza EC2.
  2. Creare un'istantanea EBS del volume che si desidera crittografare.
  3. Copia l'istantanea EBS, crittografando la copia nel processo.
  4. Crea un nuovo volume EBS dalla nuova istantanea EBS crittografata. Il nuovo volume EBS sarà crittografato.
  5. Scollega il volume EBS originale e allega il tuo nuovo volume EBS crittografato, assicurandoti di abbinare il nome del dispositivo (/ dev / xvda1, ecc.)
Matt Houser
fonte
1
Wow. Non lo sapevo che opaco. Buona
Gray,
2
Per essere pedanti, fai clic sull'istantanea non crittografata, scorri verso il basso per copiare e fai clic sul pulsante Crittografa per crittografare la copia.
Gray,
4
Un piccolo gotcha. Assicurati che la tua istanza supporti anche EBS crittografato. È possibile che tu sia in un'istanza che non lo è. Ma si tratta solo di interrompere l'istanza, quindi di cambiarne il tipo.
Dave Beer,
Per qualche motivo dopo aver fatto questo il volume crittografato si monterà SOLO come di sola lettura ...
Douglas Gaskell
Tu, amico, sei il MAN.
Aran,
0

[[Questa non è la risposta giusta e non il modo in cui facciamo le cose ora, ma la lascerò qui nel caso in cui qualcun altro trovi qualche utilità per farlo nel modo "difficile". ]]

Il seguente processo ha funzionato bene per noi per convertire i nostri volumi EBS esistenti in volumi crittografati.

  • Creare un volume delle stesse dimensioni esatte e nella stessa zona di disponibilità del volume non crittografato ma con la crittografia abilitata. Se il vecchio volume è denominato "XYZ", denominare il nuovo volume come "Nuovo XYZ" in modo da non perdere traccia di esso. Stiamo usando le chiavi di crittografia AWS predefinite ma ci sono altre opzioni nei documenti EBS .
  • Avviare un'istanza di Linux temporanea come macchina del convertitore nella stessa zona di disponibilità del volume. In realtà qualsiasi istanza di dimensioni ridurrà, sebbene le istanze ottimizzate EBS possano completare la migrazione più velocemente.
  • Chiudi l'istanza con il volume non crittografato corrente.
  • Scollegare il volume non crittografato dall'istanza.
  • Collegare il volume non crittografato all'istanza del convertitore. Guarda il dispositivo che la finestra di dialogo di collegamento dice che sta montando come. Il primo volume aggiuntivo dovrebbe essere qualcosa di simile /dev/sdf.
  • Collegare il nuovo volume crittografato appena creato anche all'istanza del convertitore. Il secondo volume aggiuntivo sarà probabilmente /dev/sdg.
  • Accedi all'istanza del convertitore come root o come utente con accesso sudo.

  • Se guardi il /proc/diststatsfile, in basso dovresti vedere qualcosa di simile xvdfe xvdgche corrisponde alle partizioni aggiuntive allegate. I nomi possono essere diversi a seconda della variante / versione del kernel Linux che si sta utilizzando. In caso di domande, è possibile controllare il /proc/diststatsfile prima di allegare per vedere quali partizioni vengono aggiunte.

    ...
# root partition
202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32

  • Eseguire il ddcomando seguente per copiare dal volume non crittografato di origine nel volume crittografato di destinazione. ATTENZIONE: questo comando può essere estremamente distruttivo. Prenditi il ​​tuo tempo. Controlla due volte, taglia una volta. Chiedi a qualcuno di guardarti alle spalle. Questi ti aiuteranno a cestinare i tuoi dati. Facciamo attenzione là fuori!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg
  • Attendere il completamento del comando dd e tornare al prompt dei comandi. Nelle nostre istanze, un disco da 16 GB ha richiesto ~ 5 minuti, quindi puoi fare matematica con dimensioni maggiori. Il tuo chilometraggio può variare.
  • Scollegare i volumi non crittografati e i nuovi crittografati dall'istanza del convertitore.
  • Collegare il nuovo volume crittografato all'istanza che stava utilizzando prima il volume non crittografato e avviarlo.
  • Quando si presenta, fare ciò che è necessario fare per confermare che il sistema ha un bell'aspetto.
  • Rinominare il volume da "XYZ" in "Vecchio XYZ". Rinomina "Nuovo XYZ" in "XYZ". Lasciare intorno al volume "Vecchio XYZ" nel caso in cui sia necessario ripristinare in caso di problemi.
Grigio
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.