作为一项要求,我需要使用客户KMS加密我的所有EBS卷(而不是故障aws / ebs之一)

在LaunchConfig的BlockDeviceMappings属性中,我确实看到了一个属性“Encrypted”但我没有看到指定自定义KMS
我看到一个snapshotId属性,它可以让我指向一个加密的快照,但这会如何表现？旋转的每个盒子是否会从该快照创建一个空卷？

实现这一目标的最佳方法是什么？我唯一的选择是在用户数据中创建卷并将其附加到那里？

最佳答案 启动EC2实例时,AWS AutoScaling组不支持指定备用KMS密钥.

当您通过ec2：RunInstances,ec2：RequestSpotFleet或ec2：RequestSpotInstances运行EC2实例时,您可以指定用于加密EBS卷的备用KMS密钥.省略此KMS密钥时,将使用用于加密EBS快照的KMS密钥.

但是,Auto Scaling启动配置不支持KMS密钥规范.因此,在启动Auto Scaling组时,无法使用备用KMS密钥.将始终使用用于加密快照的KMS密钥.

资料来源：https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_Ebs.html