Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Activer le chiffrement Amazon EBS par défaut Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux volumes EBS et des copies instantanées que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d’un instantané non chiffré. Pour voir des exemples de transition de ressources EBS non chiffrées à chiffrées, consultez [Chiffrer les ressources non chiffrées](ebs-encryption.md#encrypt-unencrypted). Le chiffrement par défaut n’a aucun effet sur les instantanés ni les volumes EBS existants. **Considérations** + Le chiffrement par défaut est un Region-specific paramètre. Si vous l’activez pour une région, vous ne pouvez pas le désactiver pour certains volumes ou instantanés spécifiques dans cette région. + Le chiffrement Amazon EBS est pris en charge par défaut sur tous les types d'instances de [génération actuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [et précédente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances). + Si vous copiez un instantané et le chiffrez dans une nouvelle clé KMS, une copie complète (non incrémentielle) est créée. Cela entraîne des coûts de stockage supplémentaires. ------ #### [ Console ] **Pour activer le chiffrement par défaut pour une région** 1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Dans la barre de navigation, sélectionnez la région. 1. Dans le volet de navigation, sélectionnez **Paramètres**, puis sélectionnez l'onglet **Protection et sécurité des données**. 1. Dans la section **Chiffrement EBS**, choisissez **Gérer**. 1. Sélectionnez **Activer**. Vous conservez l' Clé gérée par AWS alias `aws/ebs` créé en votre nom comme clé de chiffrement par défaut, ou vous choisissez une clé de chiffrement symétrique gérée par le client. 1. Choisissez **Mettre à jour le chiffrement EBS**. ------ #### [ AWS CLI ] **Pour afficher le paramètre de chiffrement par défaut** Utilisez la commande [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html). + Pour une région spécifique ``` aws ec2 get-ebs-encryption-by-default --region {{region}} ``` + Pour toutes les régions de votre compte ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Pour activer le chiffrement par défaut** Utilisez la commande [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html). + Pour une région spécifique ``` aws ec2 enable-ebs-encryption-by-default --region {{region}} ``` + Pour toutes les régions de votre compte ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **Pour désactiver le chiffrement par défaut** Utilisez la commande [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html). + Pour une région spécifique ``` aws ec2 disable-ebs-encryption-by-default --region {{region}} ``` + Pour toutes les régions de votre compte ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **Pour afficher le paramètre de chiffrement par défaut** Utilisez l’applet de commande [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html). + Pour une région spécifique ``` Get-EC2EbsEncryptionByDefault -Region {{region}} ``` + Pour toutes les régions de votre compte ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Pour activer le chiffrement par défaut** Utilisez l’applet de commande [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html). + Pour une région spécifique ``` Enable-EC2EbsEncryptionByDefault -Region {{region}} ``` + Pour toutes les régions de votre compte ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **Pour désactiver le chiffrement par défaut** Utilisez l’applet de commande [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html). + Pour une région spécifique ``` Disable-EC2EbsEncryptionByDefault -Region {{region}} ``` + Pour toutes les régions de votre compte ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ Vous ne pouvez pas modifier la clé KMS associée à un instantané ou à un volume chiffré existant. Toutefois, vous pouvez associer une autre clé KMS pendant une opération de copie d’instantané, de sorte que l’instantané copié obtenu soit chiffré par cette nouvelle clé KMS.