本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 恶意软件扫描支持的 Amazon EBS 卷
<a name="gdu-malpro-supported-volumes"></a>

在所有 GuardDuty 支持 EC2 恶意软件保护功能 AWS 区域 的地方，您都可以扫描未加密或加密的 Amazon EBS 卷。您可能拥有使用 [AWS 托管式密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)或[客户自主管理型密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)加密的 Amazon EBS 卷。目前，某些支持 EC2 恶意软件保护的区域可能同时支持这两种加密 Amazon EBS 卷的方式，而其他区域则可能仅支持客户自主管理型密钥。有关支持的区域的信息，请参阅[GuardDuty 服务账号由 AWS 区域](gdu-service-account-region-list.md)。有关可用但未提供 EC2 恶意软件防护的区域的信息，请参阅[特定于区域的特征可用性](guardduty_regions.md#gd-regional-feature-availability)。 GuardDuty 

以下列表描述了无论您的 Amazon EBS 卷是否加密所 GuardDuty 使用的密钥：
+ **未加密或加密的 Amazon EBS 卷** GuardDuty 使用自己的密钥对副本 Amazon EBS 卷进行加密。 AWS 托管式密钥

  如果您所在区域不支持扫描使用[默认 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)的 Amazon EBS 卷，则需要将默认密钥修改为客户自主管理型密钥。这将有助于 GuardDuty 访问这些 EBS 卷。通过修改密钥，即使是未来的 EBS 卷也将使用更新的密钥创建， GuardDuty 从而支持恶意软件扫描。有关修改默认密钥的步骤，请参阅下一节中的[修改 Amazon EBS 卷的默认 AWS KMS 密钥 ID](#regional-parity-supported-volumes-encrypt)。
+ 使用@@ **客户托管密钥加密的 Amazon EBS 卷** GuardDuty 使用相同的密钥对副本 EBS 卷进行加密。有关支持哪些 AWS KMS 加密相关策略的信息，请参阅[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。

## 修改 Amazon EBS 卷的默认 AWS KMS 密钥 ID
<a name="regional-parity-supported-volumes-encrypt"></a>

当您使用使用亚马逊 EBS [加密创建 Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html#encryption-parameters) 卷并且未指定 AWS KMS 密钥 ID 时，您的亚马逊 EBS 卷将使用[默认加密密钥](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)进行加密。如果默认启用加密，Amazon EBS 将使用 Amazon EBS 加密的默认 KMS 密钥自动加密新卷和快照。

您可以修改默认加密密钥，并使用客户自主管理型密钥来进行 Amazon EBS 加密。这将有助于 GuardDuty访问这些 Amazon EBS 卷。要修改 EBS 默认密钥 ID，请在您的 IAM policy 中添加以下必要权限：`ec2:modifyEbsDefaultKmsKeyId`。您选择加密但未指定关联的 KMS 密钥 ID 的新建 Amazon EBS 卷都将使用默认密钥 ID。使用以下方法之一来更新 EBS 默认密钥 ID：

**修改 Amazon EBS 卷的默认 KMS 密钥 ID**

请执行以下操作之一：
+ **使用 API** — 您可以使用 [ModifyEbsDefaultKmsKeyId](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyEbsDefaultKmsKeyId.html)API。有关如何查看卷加密状态的信息，请参阅[创建 Amazon EBS 卷](https://docs.aws.amazon.com/)。
+ **使用 AWS CLI 命令** — 以下示例修改默认 KMS 密钥 ID，如果您不提供 KMS 密钥 ID，则该密钥将加密 Amazon EBS 卷。请务必将区域替换为您 AWS 区域 的 KM 密钥 ID。

  ```
  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
  ```

  上述命令将生成与下方输出类似的输出：

  ```
  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }
  ```

  有关更多信息，请参阅 [modify-ebs-default-kms-key-id](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ebs-default-kms-key-id.html)。