本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 EC2 和亚马逊 EBS 的加密最佳实践
<a name="ec2-ebs"></a>

[Amazon Elastic Compute Cloud（Amazon EC2）](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)在 AWS Cloud中提供可扩展的计算容量。您可以根据需要启动任意数量的虚拟服务器，并快速扩展或缩减它们。[Amazon Elastic Block Store（Amazon EBS）](https://docs.aws.amazon.com/ebs/latest/userguide/what-is-ebs.html)提供了块级存储卷以用于 EC2 实例。

考虑下面针对这些服务的加密最佳实践：
+ 用适当的数据分类键和值标记所有 EBS 卷。这可以帮助您根据您的策略确定和实施适当的安全和加密要求。
+ 根据您的加密策略和技术可行性，为 EC2 实例之间或 EC2 实例与本地网络之间传输的数据配置加密。
+ 加密 EC2 实例的引导和数据 EBS 卷。加密 EBS 卷可保护以下数据：
  + 卷中的静态数据
  + 在卷和实例之间移动的所有数据
  + 从卷创建的所有快照
  + 从这些快照创建的所有卷

  有关更多信息，请参阅 [How EBS encryption works](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。
+ 默认情况下，对当前 AWS 区域账户的 EBS 卷启用加密。这将强制对任何新的 EBS 卷和快照副本进行加密。加密对现有 EBS 卷或快照没有影响。有关更多信息，请参阅 [Enable encryption by default](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default)。
+ 加密 Amazon EC2 实例的实例存储根卷。这有助于保护与操作系统一起存储的配置文件和数据。有关更多信息，请参阅[如何使用 Amazon EC2 实例存储加密保护静态数据](https://aws.amazon.com/blogs/security/how-to-protect-data-at-rest-with-amazon-ec2-instance-store-encryption/)（AWS 博客文章）
+ 在中 AWS Config，对自动检查实施[加密卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)规则，以验证和强制执行适当的加密配置。