Şifrelenmemiş EBS nasıl şifrelenir

Şifrelenmemiş birkaç eski EBS birimi var. Yeni kurumsal güvenlik önlemlerini karşılarken, tüm verilerin "beklemede şifrelenmesi" gerekir, bu yüzden şifrelenecek tüm birimleri dönüştürmem gerekir.

Bunu başarmanın en iyi yolu nedir?

Şifrelenmemiş bir EBS anlık görüntüsünü şifrelenmiş bir EBS anlık görüntüsüne kopyalamak mümkündür. Böylece aşağıdaki işlem kullanılabilir:

1. EC2 örneğinizi durdurun.
2. Şifrelemek istediğiniz birimin EBS anlık görüntüsünü oluşturun.
3. İşlemdeki kopyayı şifreleyerek EBS anlık görüntüsünü kopyalayın.
4. Yeni şifreli EBS anlık görüntünüzden yeni bir EBS birimi oluşturun. Yeni EBS birimi şifrelenecek.
5. Orijinal EBS birimini ayırın ve aygıt adıyla (/ dev / xvda1 vb.) Eşleştiğinden emin olarak yeni şifreli EBS biriminizi ekleyin.

[[Bu doğru cevap değil ve şimdi işleri nasıl yaptığımız değil ama başka birinin “zor yoldan” yapması için bir yarar bulması durumunda bunu burada bırakacağım. ]]

Aşağıdaki süreç, mevcut EBS birimlerimizi şifreli birimlere dönüştürmek için iyi çalıştı.

• Bir birim oluşturma aynı tam boyutu ve şifresiz hacmi ile aynı kullanılabilirlik bölgede ancak şifreleme ile sağladı. Eski birim "XYZ" olarak adlandırılmışsa, yeni birimi "Yeni XYZ" olarak adlandırın, böylece izini kaybetmezsiniz. Varsayılan AWS şifreleme anahtarlarını kullanıyoruz, ancak EBS belgelerinde başka seçenekler de var .
• Dönüştürücü makine olarak geçici bir linux örneğini birim ile aynı kullanılabilirlik bölgesine önyükleyin. EBS için optimize edilmiş örnekler geçişi daha hızlı tamamlayabilmesine rağmen, gerçekten herhangi bir boyutlu örnek çalışacaktır.
• Geçerli şifrelenmemiş birim ile örneği kapatın.
• Şifrelenmemiş birimi örnekten ayırın.
• Şifrelenmemiş birimi dönüştürücü örneğine ekleyin. Ekleme iletişim kutusunun bağlandığını söylediği cihazı izleyin. İlk ek hacim benzer bir şey olmalıdır /dev/sdf.
• Yeni oluşturduğunuz yeni şifrelenmiş birimi de dönüştürücü örneğine ekleyin. İkinci ek hacim muhtemelen olacaktır /dev/sdg.
• Dönüştürücü örneğinde root olarak veya sudo erişimi olan bir kullanıcı olarak oturum açın.

• /proc/diststatsDosyaya bakarsanız , alt kısımda ekli bölümlere karşılık gelen xvdfve buna benzer bir şey görmelisiniz xvdg. Kullandığınız Linux Çekirdeği varyantı / sürümüne bağlı olarak adlar farklı olabilir. Herhangi bir sorunuz varsa, /proc/diststatshangi bölümlerin eklendiğini görmek için dosyayı eklemeden önce kontrol edebilirsiniz .

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• ddKaynak şifrelenmemiş birimden hedef şifreli birime kopyalamak için aşağıdaki komutu çalıştırın . UYARI: Bu komut son derece yıkıcı olabilir. Acele etmeyin. İki kez kontrol edin, bir kez kesin. Birisinin omzunun üzerinden bakmasını sağlayın. Bunlar verilerinizi çöpe atmanıza yardımcı olur. Dışarıda dikkatli olalım!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Dd komutunun bitmesini bekleyin ve komut istemine dönün. Örneklerimizde, 16 gb'lık bir disk ~ 5 dakika sürdü, böylece daha büyük olan matematiği yapabilirsiniz. Kilometreniz değişebilir.
• Hem şifrelenmemiş hem de yeni şifrelenmiş birimleri dönüştürücü örneğinden ayırın.
• Yeni şifrelenmiş birimi, daha önce şifrelenmemiş birimi kullanan örneğe ekleyin ve önyükleyin.
• Geldiğinde, sistemin iyi göründüğünü doğrulamak için yapmanız gerekeni yapın.
• Birimi "XYZ" den "Eski XYZ" olarak yeniden adlandırın. "Yeni XYZ" i "XYZ" olarak yeniden adlandırın. Sorun olması durumunda geri dönmeniz gerektiğinde "Eski XYZ" hacminin etrafında bırakın.