本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 支援惡意軟體掃描的 Amazon EBS 磁碟區
<a name="gdu-malpro-supported-volumes"></a>

在 AWS 區域 GuardDuty 支援 EC2 惡意軟體防護功能的所有 中，您可以掃描未加密或加密的 Amazon EBS 磁碟區。您可以讓使用 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)或[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)加密的 Amazon EBS 磁碟區。目前，提供 EC2 惡意軟體防護的一些區域可能支援兩種加密 Amazon EBS 磁碟區的方式，而其他區域則僅支援客戶受管金鑰。如需支援區域的資訊，請參閱 和 [GuardDuty 服務帳戶 AWS 區域](gdu-service-account-region-list.md)。如需可使用 GuardDuty 但無法使用 EC2 惡意軟體防護的區域相關資訊，請參閱 [區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。

下列清單說明 GuardDuty 是否加密您的 Amazon EBS 磁碟區所使用的金鑰：
+ **未加密或使用 加密的 Amazon EBS 磁碟 AWS 受管金鑰**區 – GuardDuty 會使用自己的金鑰來加密複本 Amazon EBS 磁碟區。

  如果您的區域不支援掃描[預設使用 Amazon EBS 加密加密的 Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) 磁碟區，則您需要修改預設金鑰，才能成為客戶受管金鑰。這將有助於 GuardDuty 存取這些 EBS 磁碟區。透過修改金鑰，即使是未來的 EBS 磁碟區也會使用更新的金鑰建立，以便 GuardDuty 可以支援惡意軟體掃描。如需修改預設金鑰的步驟，請參閱下一節[修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰 ID](#regional-parity-supported-volumes-encrypt)中的 。
+ **使用客戶受管金鑰加密的 Amazon EBS 磁碟**區 – GuardDuty 使用相同的金鑰來加密複本 EBS 磁碟區。如需支援哪些 AWS KMS 加密相關政策的詳細資訊，請參閱 [EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)。

## 修改 Amazon EBS 磁碟區的預設 AWS KMS 金鑰 ID
<a name="regional-parity-supported-volumes-encrypt"></a>

當您使用 Amazon EBS [加密建立 Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html#encryption-parameters) 磁碟區，但未指定 AWS KMS 金鑰 ID 時，您的 Amazon EBS 磁碟區會使用[預設金鑰進行加密](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)。當您預設啟用加密時，Amazon EBS 會使用 Amazon EBS 加密的預設 KMS 金鑰自動加密新的磁碟區和快照。

您可以修改預設加密金鑰，並使用客戶受管金鑰進行 Amazon EBS 加密。這將有助於 GuardDuty 存取這些 Amazon EBS 磁碟區。若要修改 EBS 預設金鑰 ID，請將下列必要許可新增至 IAM 政策：`ec2:modifyEbsDefaultKmsKeyId`。您選擇加密但未指定相關聯 KMS 金鑰 ID 的任何新建立 Amazon EBS 磁碟區都會使用預設金鑰 ID。使用下列其中一種方法來更新 EBS 預設金鑰 ID：

**修改 Amazon EBS 磁碟區的預設 KMS 金鑰 ID**

執行以下任意一項：
+ **使用 API**：您可以使用 [ModifyEbsDefaultKmsKeyId](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyEbsDefaultKmsKeyId.html) API。如需有關如何檢視磁碟區的加密狀態的資訊，請參閱[建立 Amazon EBS 磁碟區](https://docs.aws.amazon.com/)。
+ **使用 AWS CLI 命令** – 下列範例會修改預設 KMS 金鑰 ID，如果您不提供 KMS 金鑰 ID，則會加密 Amazon EBS 磁碟區。請務必使用 KM 金鑰 ID AWS 區域 的 取代 區域。

  ```
  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
  ```

  以上命令會產生與下列輸出類似的輸出：

  ```
  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }
  ```

  如需詳細資訊，請參閱 [modify-ebs-default-kms-key-id](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ebs-default-kms-key-id.html)。