Como criptografar o volume de uma instância
Embora não tenha uma maneira direta de criptografar um volume ou um snapshot existente, é possível criptografá-los a partir de um novo volume ou um snapshot e então associá-lo a qualquer instância do EC2 dentro da mesma zona de disponibilidade. Para isso siga os próximos passos:
1.Acesse Snapshots no menu lateral esquerdo. Selecione o snapshot que deseja criar o volume, clique em Actions e em seguida Create Volume.
2.Na tela Create Volume, habilite a opção Encrypt this volume no campo Encryption. Lembre de manter a mesma AZ da instância o qual será anexado no campo Availability Zone.
3.Defina a Master Key ou chave mestra (CMK) do cliente para ser usada na criptografia. A chave padrão da conta é exibida inicialmente, mas é possível selecionar chaves mestras da conta ou digitar/colar o ARN de uma chave de uma conta diferente.
Adicione as Tags necessárias e por fim clique em Create Volume.
4.Verifique que o volume foi criado com sucesso.
5.Repare que agora o volume dev-tutorial-encrypted aparece como Encrypted.
6.Para definir o volume criptografado como root, é necessário antes parar a instância que está rodando. Acesse a tela de Instances no menu lateral esquerdo. Selecione a instância, em nosso caso dev-tutorial, clique em Actions, Instance State e em seguida Stop.
7.Com a instância parada, volte para tela de Volumes, selecione o volume não criptografado – dev-tutorial e clique em Actions em seguida Detach Volume para desanexar o volume da instância.
8.Agora para anexar o volume criptografado dev-tutorial-encrypted à instância dev-tutorial clique em Actions em seguida Attach Volume.
9.Selecione a instância com o mesmo AZ e o Device. Por fim clique em Attach para tornar esse volume root.
10.Verifique agora na tela Instances no campo Root device que a instância dev-tutorial está com o volume criptografado anexado /dev/sda1.
11.Inicie novamente a instância na tela Instances e clique em Actions, Instance State em seguida Start. Agora a instância está com o volume criptografado. Se preferir, delete o volume antigo não criptografado.