Como converter um EBS não criptografado para ser criptografado

É possível copiar um instantâneo não criptografado do EBS para um instantâneo criptografado do EBS. Então o seguinte processo pode ser usado:

1. Pare sua instância do EC2.
2. Crie um instantâneo do EBS do volume que você deseja criptografar.
3. Copie o instantâneo do EBS, criptografando a cópia no processo.
4. Crie um novo volume do EBS a partir do seu novo snapshot criptografado do EBS. O novo volume do EBS será criptografado.
5. Separe o volume do EBS original e anexe seu novo volume criptografado do EBS, certificando-se de corresponder ao nome do dispositivo (/ dev / xvda1, etc.)

[[Esta não é a resposta correta e não como fazemos as coisas agora, mas deixarei isso aqui, caso alguém encontre alguma utilidade para fazê-lo da maneira mais difícil. ]]

O processo a seguir funcionou bem para convertermos nossos volumes existentes do EBS em volumes criptografados.

• Crie um volume do mesmo tamanho exato e na mesma zona de disponibilidade que o volume não criptografado, mas com a criptografia ativada. Se o volume antigo tiver o nome "XYZ", nomeie o novo volume como "New XYZ" para não perder o controle. Estamos usando as chaves de criptografia padrão da AWS, mas há outras opções nos documentos da EBS .
• Inicialize uma instância temporária do Linux como a máquina do conversor na mesma zona de disponibilidade que o volume. Realmente qualquer instância de tamanho fará, embora as instâncias otimizadas do EBS possam concluir a migração mais rapidamente.
• Desligue a instância com o volume não criptografado atual.
• Desanexe o volume não criptografado da instância.
• Anexe o volume não criptografado à instância do conversor. Observe o dispositivo que a caixa de diálogo anexar indica que está sendo montada. O primeiro volume adicional deve ser algo como /dev/sdf .
• Anexe o novo volume criptografado que você acabou de criar também à instância do conversor. O segundo volume adicional provavelmente será /dev/sdg .
• Faça login na instância do conversor como root ou como um usuário com acesso sudo.

• Se você olhar o arquivo /proc/diststats , na parte inferior, você verá algo como xvdf e xvdg , que correspondem às partições adicionais anexadas. Os nomes podem ser diferentes dependendo da variante / versão do kernel do Linux que você está usando. Se houver alguma dúvida, você pode verificar o arquivo /proc/diststats antes de anexar para ver quais partições foram adicionadas.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Execute o seguinte comando dd para copiar do volume não criptografado de origem para o volume criptografado de destino. AVISO: Este comando pode ser extremamente destrutivo. Não tenha pressa. Verifique duas vezes, corte uma vez. Alguém olhe por cima do seu ombro. Isso ajudará você a remover seus dados. Vamos ter cuidado lá fora!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Aguarde até que o comando dd termine e retorne ao prompt de comando. Em nossos casos, um disco de 16GB levou ~ 5 minutos para que você possa fazer as contas com maior. Sua milhagem pode variar.
• Separe os volumes criptografados e não criptografados da instância do conversor.
• Anexe o novo volume criptografado à instância que estava usando o volume não criptografado antes e inicialize-o.
• Quando isso acontecer, faça o que você precisa fazer para validar se o sistema parece ser bom.
• Renomeie o volume de "XYZ" para "Old XYZ". Renomeie "New XYZ" para ser "XYZ". Deixe em torno do volume "Old XYZ" para o caso de você precisar reverter se houver problemas.