关于AWS-Redhat-9.x-Linux-安全加固镜像-取消KMS加密的方法

从安全的角度来讲，安全加固的镜像是需要有KMS加密的，但由于镜像是需要在多个AWS账号中分享使用，

加上一些特殊的背景原因，需要取消KMS加密，这样的话，在各个AWS中，创建EC2虚拟机时，就需要注意使用上KMS就可以了

笔者实现的大体过程如下：

1、创建一台机临时的机器，可以使用AWS官方的Redhat 9.x，非LVM磁盘结构

2、基于带KMS加密镜像的Snapshot ，创建一块磁盘，并挂载到临时的机器上，这里名称为 /dev/nvme1n1

3、创建一块与空的磁盘，与加密的磁盘大小一样，建议是大1GB都是可以的，也是挂载到临时的机器上，这里名称为 /dev/nvme2n1

4、使用dd命令将数据复制到空的磁盘上,如果要速度快，可以修改两块磁盘的性能到最佳，最后使用dd命令时，笔者设置的 bs=512MB（速度提升很明显）

[root@qq-5201351 ~]# dd if=/dev/nvme1n1 of=/dev/nvme2n1 

5、使用之前加固镜像创建新的机器，使用上面的新磁盘，替换掉镜像根卷、测试，启动没有问题，就可以创建不带KMS加密的加固镜像了

6、最后将新的镜像，分享给其他AWS账号，这样就不用考虑KMS的权限了

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/18160445