Для EBS и S3 шифрование (даже через ключ по умолчанию от KMS) по умолчанию отключено, как я понял из документации, для пользователя нет разницы, зашифрованы ли том / объекты под капотом или нет. Если это правда, почему эта опция по умолчанию отключена? А если нет, то каковы недостатки?
Спасибо.
Кажется, главный вопрос заключается в том, «есть ли недостатки в шифровании моих объектов S3 и томов EBS»?
Факторы:
В целом, я не вижу существенных недостатков.
Преимущество также не так велико - шифрование в состоянии покоя в первую очередь предотвращает доступ людей к вашим данным, если они украдут устройство хранения, а этого не произойдет в центре обработки данных AWS, поскольку они имеют хорошую физическую безопасность и надежно уничтожают устройства, которые утилизируются.
Том EBS ROOT нельзя зашифровать без создания его моментального снимка. вот почему он не отображается по умолчанию.