2026年3月28日大约 2 分钟
EC2 Windows 实例部署 BitLocker 注意事项
在 EC2 Windows 实例上启用 BitLocker 系统盘加密是可行的,但风险比物理机更高。关键问题是 EC2 通常没有传统 TPM,系统盘加密后启动阶段需要输入密码,而普通控制台未必能提供可靠输入通道。
风险点
如果直接对 C 盘启用 BitLocker 并重启,可能出现:
- 实例状态显示 running,但 RDP 无法连接。
- 启动阶段等待 BitLocker 密码或恢复密钥。
- 控制台黑屏或无法输入。
- 业务长时间不可用,只能通过快照/AMI 回滚。
因此必须先验证 EC2 串行控制台可用。
操作前准备
- 创建 AMI 或 EBS 快照。
- 在测试实例完整演练。
- 记录并离线保存恢复密钥。
- 确认可接受重启和短暂停机窗口。
启用串行控制台 SAC
在管理员 PowerShell 中执行:
bcdedit /ems '{current}' on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
bcdedit /set '{bootmgr}' displaybootmenu yes
bcdedit /set '{bootmgr}' timeout 15
bcdedit /set '{bootmgr}' bootems yes
shutdown -r -t 0重启后,在 EC2 控制台通过“连接 -> EC2 串行控制台”确认可以进入启动界面。如果串行控制台不可用,不要继续加密系统盘。
安装 BitLocker 功能
通过 Server Manager 添加 BitLocker,或使用 PowerShell:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
Restart-Computer配置无 TPM 启动
运行 gpedit.msc,进入:
计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器启用“启动时需要附加身份验证”,并勾选“没有兼容的 TPM 时允许 BitLocker”。
加密数据盘
数据盘建议先测试:
- 右键数据盘启用 BitLocker。
- 选择密码解锁。
- 保存恢复密钥。
- 加密完成后配置自动解锁。
如果没有自动解锁,每次重启后业务可能因为数据盘锁定而不可用。
加密系统盘
启用 C 盘 BitLocker,选择密码解锁,保存恢复密钥,并运行 BitLocker 系统检查。
重启后:
- RDP 暂时不可用。
- 进入 EC2 串行控制台。
- 在黑屏阶段输入 BitLocker 密码并回车。
- Windows 解锁后继续启动。
- 系统启动完成后再恢复 RDP。
总结
EC2 Windows 上做 BitLocker 的关键不是点击“启用加密”,而是启动阶段能否解锁。
必须做到:
- 加密前创建 AMI/快照。
- 先启用并验证 EC2 串行控制台。
- 保存恢复密钥。
- 数据盘配置自动解锁。
- 先在测试环境演练完整重启流程。
如果只是为了云上 EBS 静态加密,优先使用 EBS encryption;BitLocker 更适合 BYOL 或特定合规场景。