【发布时间】:2018-06-24 22:00:03
【问题描述】:
如果我启动 EC2,根 EBS 将不会被加密(不知道为什么,可能是因为 EC2 是从公共 AMI 启动的。但即使我创建自己的加密 AMI,我也无法从它启动 EC2.. ..)
无论如何,我知道我可以通过这种方式从现有 EC2 加密 EBS:首先启动 EC2,然后对其进行快照,然后将快照复制到新快照并将新快照设置为加密,然后创建卷从新快照中,然后从现有的未加密卷中分离 EC2,然后将 EC2 附加到新的加密卷并将设备设置为 /dev/sda1。最后,EC2 的 EBS 将被加密。如您所见,这些步骤很复杂。
事实上,我需要创建一个 EC2,并且 EC2 应该使用 Terraform 加密根 EBS。上面的步骤看起来很复杂,我不知道如何使用 Terraform 开发它们。
我的问题是:如何在启动 EC2 后编写 Terraform 代码加密 EBS?任何解决方案都可以,我只想使用 Terraform 开发它。如果 Terraform 不能做到这一点,我应该使用什么其他自动化工具?
【问题讨论】:
-
“但即使我创建了自己的加密 AMI,我也无法从中启动 EC2” 停止,到此为止。您应该能够做到这一点,这是简单/明显的解决方案。为什么说不能从使用加密快照构建的 AMI 启动实例?
-
@Michael - sqlbot:上次我从公共 ubuntu16.4(ami-79aeae19) 创建了自己的加密 AMI 之后。我从我自己的加密 AMI 启动了一个 EC2,但它失败了。错误消息显示:启动失败无法指定加密标志,因为设备 /dev/sda1 已指定快照。今天我又试了一次,成功了!所以我的解决方案是:提前手动创建一个加密的 AMI,然后用它在 terraform 中启动我的 EC2。谢谢!
标签: amazon-web-services encryption amazon-ec2 terraform aws-ebs