Quando se utiliza a chave gerenciada pela AWS (aws/ebs) no momento de criptografar os volumes EBS de uma instância, você deve saber que pode encontrar uma limitação quando precisar compartilhar uma AMI gerada com esse volume para outra conta AWS que não seja a mesma onde a chave se originou.
Não deixe de criptografar os volumes por conta disso, mas considere utilizar uma chave KMS gerenciada pelo cliente, assim esta chave pode ser compartilhada com a AMI.
Pré-requisitos
Acesso ao console AWS
Uma instância Linux com dois volumes EBS anexados — O volume secundário deve possuir o mesmo tamanho do volume que você pretende descriptografar
Aplicabilidade
Instâncias Linux ou Windows com volume root EBS criptografado
Volumes EBS de dados criptografados
Recomendações
Realize backup/snapshot da instância
Se possível, não realize diretamente na instância de produção — Crie um clone
Execução
- Visualização dos volumes da instância Linux que será utilizada para manobra:
- Visualização do volume criptografado:
- Desligue a instância que possuí o volume criptografado e desanexe o volume:
- Anexe o volume criptografado na instância Linux de manobra:
- Visualização dos volumes na instância Linux de manobra:
- Acesse a instância Linux de manobra e execute o comando abaixo para identificar o nome dos volumes no S.O.:
lsblk
- Ainda no terminal da instância Linux de manobra, execute como root o comando abaixo para clonar o disco:
dd if=/dev/xvdf of=/dev/xvdb bs=4096 status=progress
Até aqui, você já clonou o disco criptografado para o disco secundário não criptografado da instância Linux de manobra.
- Desligue a instância Linux de manobra e desanexe o volume que você acabou de descriptografar:
- Crie uma nova instância com a mesma versão do S.O. onde pretende utilizar o disco que foi descriptografado, quando essa instância estiver disponível, desligue-a e desanexe o disco que utilizou apenas na criação:
- Anexe o volume que foi descriptografado na instância que acabou de ser criada, e no momento, está sem nenhum volume anexado — Atenção ao Device name, será anexado como volume root:
- Ligue a instância que está com seu volume desejado (descriptografado) e valide a consistência. Se estiver tudo certo, crie uma AMI:
- Agora é possível compartilhar essa AMI com a conta desejada:
Conclusão
Não deixe de manter seus volumes criptografados, porém se a necessidade de compartilhamento de AMI’s entre contas estiver mapeada, utilize uma chave KMS gerenciada pelo cliente.
Na conta de destino, opcionalmente, habilite a criptografia de EBS quando for lançar uma nova instância a partir da AMI compartilhada.
Happy building!
Top comments (0)