Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
So fügen Sie Microsoft Azure als Anbieter hinzu:
Navigieren Sie in der RAS-Konsole zu Serverfarm > Site > Anbieter.
Klicken Sie auf der Registerkarte Anbieter auf Aufgaben > Hinzufügen > Microsoft Azure.
Der Assistent Cloud Computing-Anbieter hinzufügen wird geöffnet.
Geben Sie im Assistenten Folgendes an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Zugangsdaten verwalten: Die administrativen Accounts, die für den Einsatz von Parallels Agents verwendet werden.
Authentifizierungs-URL: Mit der URL der Microsoft-Authentifizierungsseite vorbelegt. Sofern nicht anders erforderlich oder angegeben, behalten Sie den angegebenen Standardwert bei.
Verwaltungs-URL: Mit der URL der Microsoft Azure-Verwaltungs-Website vorbelegt. Sofern nicht anders erforderlich oder angegeben, behalten Sie den angegebenen Standardwert bei.
Ressourcen-URI: Vorbelegt mit der Microsoft Azure Ressource URI. Sofern nicht anders erforderlich oder angegeben, behalten Sie den angegebenen Standardwert bei.
Mandanten-ID: Der Wert Directory-ID (Mandant)“ der Microsoft Entra ID-App, die Sie zuvor erstellt haben.
Abonnement-ID: Ihre Microsoft-Abonnement-ID.
Anwendungs-ID: Der Wert App-ID (Client)“ der Microsoft Entra ID-App, die Sie zuvor erstellt haben (S. ).
Anwendungsschlüssel: Der Wert Geheimer Clientschlüssel“ der Microsoft Entra ID-App, die Sie zuvor erstellt haben.
Klicken Sie auf den Link Erweiterte Einstellungen, um ein Dialogfeld zu öffnen, in dem Sie die folgenden optionalen Einstellungen konfigurieren können:
Dedizierten Provider Agent verwenden: Wenn diese Option deaktiviert ist (Standard), wird der integrierte RAS Provider Agent verwendet. Wenn Sie einen dedizierten RAS Provider Agent verwenden möchten, wählen Sie diese Option und geben Sie die Host-FQDN oder die IP-Adresse an.
Agent-Adresse: Diese Option wird aktiviert, wenn Sie die Option darüber wählen. Geben Sie den FQDN oder die IP-Adresse des Hosts an, auf dem der RAS Provider Agent installiert ist (oder sein wird). Das kann ein physisches System oder eine virtuelle Maschine sein.
Bevorzugter Connection Broker: Wählen Sie einen RAS Connection Broker als bevorzugten Agent für diesen Anbieter aus. Weitere Infos finden Sie unter Aktivieren der Hochverfügbarkeit für VDI.
Klicken Sie auf Weiter. Der Assistent zeigt die Informationen zum neuen Anbieter und den Status des RAS Provider Agents an. Wenn alles in Ordnung ist, klicken Sie auf Fertigstellen, um den Assistenten zu beenden. Wenn etwas nicht wie erwartet ist, klicken Sie auf Zurück und korrigieren Sie gegebenenfalls Fehler.
Der neue Anbieter wird nun auf der Registerkarte Anbieter in der RAS-Konsole angezeigt. Vervollständigen Sie das Hinzufügen des Anbieters wie folgt:
Klicken Sie auf Übernehmen, um die Änderungen zu übernehmen.
Überprüfen Sie den Wert der Spalte Status. Wenn es nicht OK ist, klicken Sie mit der rechten Maustaste auf den Anbieter und wählen Sie Support-Anfrage senden > Agent prüfen. Überprüfen Sie den Agent-Status und installieren Sie ihn gegebenenfalls. Klicken Sie dann auf OK. In der Spalte Status auf der Registerkarte Anbieter sollte jetzt OK stehen.
Ändern der Anbieter-Konfiguration
Um die Konfiguration des Anbieters anzuzeigen und zu ändern, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften. In dem sich öffnenden Dialogfeld können Sie die Eigenschaften des Anbieters anzeigen und ändern.
Einführung
Unternehmen, die Microsoft Azure verwenden oder daran interessiert sind, können VDI- und RD-Sitzungshost-Workloads direkt von der Parallels-RAS-Konsole aus bereitstellen, skalieren und verwalten und mit Azure Resource Manager (ARM) auf Microsoft Azure verteilen. Parallels RAS verwendet einen Service-Prinzipal mit den erforderlichen Berechtigungen für relevante Azure-Ressourcen (Abonnement und Ressourcengruppen) zur Authentifizierung, Bereitstellung und Verwaltung der Ressourcen.
Voraussetzungen
Um Microsoft Azure als Anbieter zu verwenden, benötigen Sie Folgendes:
Ein bestehendes Microsoft Azure-Konto und ein Abonnement.
Die erforderlichen Microsoft Azure-Anbieter müssen aktiviert werden, einschließlich Microsoft.ResourceGraph, Microsoft.Resources, Microsoft.Compute, Microsoft.Network.
Ein virtuelles ARM-Netzwerk und Subnetz in Ihrer bevorzugten Region mit Konnektivität zu AD-Diensten. Microsoft Entra ID mit Active Directory Domain Services (AADDS), Domain Controller in Azure IAAS oder Hybrid mit Konnektivität zur lokalen Domäne können verwendet werden.
Site-to-Site-VPN oder ExpressRoute ist erforderlich, wenn eine hybride RAS-Bereitstellung verwendet wird.
Eine konfigurierte VM, die für den VDI- oder RD-Sitzungshost als Vorlage verwendet wird.
Das Hinzufügen von Microsoft Azure als Anbieter ist ein zweistufiger Prozess:
Zunächst müssen Sie eine Anwendung in Microsoft Azure erstellen, um auf die Ressourcen in Ihrem Abonnement zuzugreifen. Dieser Schritt wird im Abschnitt beschrieben.
Sobald die Anwendung erstellt und registriert ist, können Sie Microsoft Azure als Anbieter in der Parallels RAS-Konsole hinzufügen. Dieser Schritt wird in beschrieben.
Lesen Sie weiter, um zu erfahren, wie Sie die oben genannten Schritte durchführen können.
In diesem Abschnitt wird beschrieben, wie Sie einen hinzufügen können. Informationen über das Hinzufügen eines Hypervisor-Anbieters finden Sie unter .
Wenn Sie eine Vorlage zum Klonen von VMs in Microsoft Azure erstellen, müssen Sie eine Azure-Ressourcengruppe auswählen, in der VM-Klone erstellt werden sollen. Beachten Sie, dass es sich dabei um eine Gruppe handeln muss, der Sie Berechtigungen für die Anwendung Microsoft Entra ID erteilt haben. Sie müssen auch eine VM-Größe und einen Festplattentyp auswählen, die für geklonte VMs verwendet werden sollen. Diese Einstellungen werden auf der Seite Erweitert des Assistenten zum Erstellen von Vorlagen angegeben.
Sowohl Virtual Desktop- als auch RD-Sitzungshost-Vorlagen können mit Microsoft Azure als Anbieter erstellt werden. Wenn VMs geklont werden, werden sie in der RAS-Konsole angezeigt. Gleichzeitig können Sie sie auch im Microsoft Azure-Portal sehen.
Hinweis: Wenn es mehrere RAS-Installationen gibt, die dasselbe Abonnement verwenden, besteht die Behelfslösung darin, den Lesezugriff der Provider Agent-Anwendung von der Abonnement-Ebene auf die Ebene der Ressourcengruppen oder einen Satz von Ressourcengruppen zu ändern. Dies ist notwendig, um eine Situation zu vermeiden, in der sich ein bestimmter Provider Agent mit dem Satz von Ressourcengruppen einer anderen Provider Agent-Anwendung überschneidet.
Vollständige Informationen über die Erstellung und Verwendung von Vorlagen, einschließlich der Besonderheiten von Microsoft Azure, finden Sie im Abschnitt Vorlagen.
Um die folgenden Schritte auszuführen, müssen Sie ein Microsoft Azure-Abonnement und ein Konto haben. Wenn Sie kein Abonnement haben, müssen Sie zuerst eines erwerben.
Erstellen Sie eine Microsoft Entra ID-Anwendung
Eine Microsoft Entra ID-Anwendung wird mit der rollenbasierten Zugriffskontrolle verwendet. Sie müssen eine Microsoft Entra ID-Anwendung erstellen, um von Parallels RAS aus auf Ressourcen in Ihrem Abonnement zugreifen zu können.
So erstellen Sie eine Microsoft Entra ID-Anwendung:
Melden Sie sich beim Microsoft Azure-Portal an.
Öffnen Sie das Portalmenü und wählen Sie Microsoft Entra ID.
Wählen Sie im linken Fensterausschnitt die Option App-Registrierungen.
Klicken Sie auf Neue Registrierung (oben im rechten Fensterausschnitt).
Das Blatt Registrieren einer Anwendung wird geöffnet.
Geben Sie im Feld Name einen Namen ein, den Sie für die Anwendung verwenden möchten.
Stellen Sie im Abschnitt URI umleiten (optional) sicher, dass Web in der Dropdownliste ausgewählt ist. Lassen Sie das URI-Feld leer.
Klicken Sie auf Registrieren (unten links).
Die neue Microsoft Entra ID-App wird erstellt und deren Blatt wird im Portal angezeigt.
Beachten Sie die folgenden App-Eigenschaften, die oben im rechten Fensterbereich angezeigt werden:
Anzeigename
Anwendungs-ID (Client)*
Directory-ID (Mandant)*
Objekt-ID*
* Kopieren und speichern Sie diese Eigenschaften. Sie müssen sie später beim Hinzufügen von Azure als Anbieter in der RAS-Konsole angeben.
Erstellen eines geheimen Clientschlüssels
Ein geheimer Clientschlüssel ist eine Zeichenfolge, die die Anwendung zum Nachweis ihrer Identität verwendet, wenn sie ein Token anfordert. Es dient im Wesentlichen als Anwendungspasswort. Sie müssen diese Zeichenfolge in der RAS-Konsole angeben, wenn Sie Azure als Anbieter hinzufügen.
So erstellen Sie einen geheimen Clientschlüssel:
Wenn Sie sich nicht mehr auf der Anwendungsseite befinden, navigieren Sie von der Startseite aus zu dieser, indem Sie Microsoft Entra ID > App-Registrierung wählen und dann im rechten Fensterbereich auf die App klicken.
Klicken Sie im linken Fensterbereich auf Zertifikate und Geheimnisse.
Klicken Sie im rechten Fensterbereich auf Neuer geheimer Clientschlüssel.
Geben Sie einen Clientnamen ein und wählen Sie die gewünschte Ablaufoption.
Klicken Sie auf Hinzufügen. Der neue geheime Clientschlüssel erscheint in der Liste Geheime Clientschlüssel.
WICHTIG: Kopieren und speichern Sie den geheimen Clientschlüssel (Spalte Wert). Wenn Sie diese Seite verlassen, ohne den geheimen Clientschlüssel zu kopieren, wird er versteckt und Sie können ihn später nicht mehr abrufen.
Erteilen von Lese- und Schreibzugriff auf Ressourcen für die Anwendung
Die Microsoft Entra ID-App, die Sie erstellt haben, muss Lese- und Schreibzugriff auf Azure-Ressourcen haben. Die folgenden Anweisungen zeigen, wie man der Anwendung Lese- und Schreibzugriff auf eine Ressourcengruppe gewährt. Sie können auch Zugang zu einer bestimmten Ressource oder zu Ihrem gesamten Azure-Abonnement gewähren. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Azure.
So geben Sie der App Schreibzugriff auf die Ressourcengruppe, in der sich neue VMs befinden werden:
Wählen Sie im Portalmenü Azure die Option Ressourcengruppen.
Klicken Sie auf eine Ressourcengruppe, in der sich die neuen VMs befinden werden.
Wählen Sie im linken Fensterbereich Zugriffskontrolle (IAM).
Suchen Sie im rechten Fensterbereich das Feld Zugriff auf diese Ressource gewähren und klicken Sie dann auf Rollenzuweisung hinzufügen.
Auf der Registerkarte Position der Seite Positionszuweisung hinzufügen wählen Sie Berechtigte Administratorrollen, dann die Rolle Mitwirkender aus.
Klicken Sie auf Weiter.
Auf der Registerkarte Mitglieder wählen Sie die Option Benutzer, Gruppe oder Service-Prinzipal aus.
Klicken Sie auf den Link Mitglieder auswählen und geben Sie dann den Namen der vorab im Feld Auswählen erstellten Anwendung ein. Wählen Sie die Anwendung in der Dropdownliste aus und klicken Sie auf Auswählen.
Klicken Sie auf Weiter.
Auf der Registerkarte Überprüfung und Zuweisen bestätigen Sie, dass die Konfiguration korrekt ist und klicken auf Überprüfung und Zuweisen.
So geben Sie der App Lesezugriff auf die Ressourcengruppe:
Wiederholen Sie die Schritte 1-4 aus der obigen Liste.
Auf der Registerkarte Position der Seite Positionszuweisung hinzufügen wählen Sie Tätigkeitsrollen, dann die Rolle Mitwirkender aus.
Wiederholen Sie die Schritte 6-10 aus der obigen Liste.
Hinweis: Wenn Sie der Anwendung Lesezugriff auf Ihr gesamtes Abonnement (nicht nur auf eine bestimmte Ressourcengruppe) gewähren möchten, wählen Sie im Menü des Azure-Portals Alle Dienste, dann navigieren Sie zu Kategorien > Alle > Abonnements und wählen Sie Ihr Abonnement aus. Wählen Sie im mittleren Bereich Zugriffskontrolle (IAM) und klicken Sie im Feld Rollenzuweisung hinzufügen auf Hinzufügen. Wiederholen Sie die Schritte 2-4 aus der obigen Liste.
So finden Sie Ihre Microsoft Azure-Abonnement-ID
Wenn Sie Microsoft Azure als Anbieter in der RAS-Konsole hinzufügen, müssen Sie Ihre Azure-Abonnement-ID angeben. Wenn Sie sich nicht mehr daran erinnern, finden Sie sie hier im Microsoft Azure-Portal:
Wählen Sie im Portalmenü Alle Dienste.
Klicken Sie in der Liste Kategorien auf Alle.
Klicken Sie im rechten Fensterbereich auf Abonnements.
Klicken Sie auf ein Abonnement und kopieren und speichern Sie dann den Wert aus dem Feld Abonnement-ID.
Zusammenfassung
Wenn Sie alle oben genannten Schritte abgeschlossen haben, sollten Sie die folgenden Werte gespeichert haben und bereit sein, um Microsoft Azure als Anbieter in der RAS-Konsole hinzuzufügen:
App-ID (Client): Anwendungs-ID.
Directory-ID (Mandant): Mandanten-ID.
Geheimer Clientschlüssel: Geheimer Clientschlüssel (Anwendungsschlüssel).
Abonnement-ID: Ihre Microsoft Azure-Abonnement-ID.
Lesen Sie weiter, um zu erfahren, wie Sie Microsoft Azure als Anbieter in der RAS-Konsole hinzufügen können.
Einführung
Amazon Web Services (AWS) ist ein führender Anbieter von Cloud-Plattformen, der mehr als 200 voll funktionsfähige Dienste in Rechenzentren auf der ganzen Welt anbietet. Parallels RAS 19 bietet die Möglichkeit, Amazon EC2-Workloads zu integrieren, zu konfigurieren, zu warten, zu unterstützen und darauf zuzugreifen.
Die Unterstützung richtet sich an Server-Betriebssysteme mit mehreren Sitzungen (RDSH), mit einer Sitzung (serverbasierte VDI) und an andere Microsoft-Betriebssysteme, sofern Ihr Unternehmen Lizenzen für diese besitzt. Weitere Informationen darüber, wie Sie Betriebssysteme von Microsoft mit AWS nutzen können, finden Sie unter .
Die Parallels RAS-Konsole erlaubt es Ihnen, Folgendes zu tun:
Verwalten von Amazon EC2-Instanzen
Vorlagen erstellen und verwalten
Instanzenpools erstellen und verwalten
Autoskalierung konfigurieren
Instanzen zu einem bestimmten Zeitpunkt aktivieren, neu starten, hochfahren und herunterfahren
Bildoptimierung konfigurieren
FSLogix-Profilcontainer und MSIX-Anwendung verwenden
Instanztypen und Speichertypen ändern
Voraussetzungen
Ein AWS-Konto. Wenn Sie noch kein Konto haben, können Sie Ihr Konto kostenlos unter aws.amazon.com/de/ec2/ erstellen.
Eine funktionierende Microsoft Active Directory-Umgebung, damit Sie die geklonten Amazon EC2-Instanzen mit Ihrer Domäne verbinden können.
Eine vorkonfigurierte Virtual Private Cloud (VPC) als Ihr virtuelles Netzwerk, und Sicherheitsgruppen, die als virtuelle Firewall für Ihre EC2-Instanzen fungieren.
Eine vorkonfigurierte Amazon EC2-Instanz, die später als Parallels RAS-Vorlage verwendet wird und auf Windows Server 2012 bis hin zu Windows Server 2022 läuft.
Zum Erstellen des IAM-Benutzerkontos können Sie die AWS-Managementkonsole, die AWS-Befehlszeilenschnittstelle, Tools for Windows PowerShell oder den AWS-API-Betrieb verwenden. In dieser Anleitung verwenden wir die AWS-Managementkonsole:
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Seite unter console.aws.amazon.com/iam.
Wählen Sie im Navigationsbereich die Option Benutzer und klicken Sie dann auf die Schaltfläche Benutzer hinzufügen.
Geben Sie im Abschnitt Benutzerdetails festlegen einen Benutzernamen ein, z. B. ParallelsConnector“
Wählen Sie unter AWS-Zugangstyp die Option Zugriffsschlüssel – Programmatischer Zugriff, da die Parallels RAS-Konsole APIs für die Kommunikation mit Ihrem AWS-Account verwenden wird. Dadurch wird ein Zugriffsschlüssel für den IAM-Benutzer erstellt. Sie können die Zugangsschlüssel anzeigen oder herunterladen, wenn Sie die Seite für den Abschluss des Prozesses erreichen. Klicken Sie auf Weiter, um zur Seite mit den Berechtigungen zu gelangen.
Auf der Seite mit den Berechtigungen können Sie eine Benutzergruppe erstellen, der der neue IAM-Benutzer angehören soll. Dies wird empfohlen, da es für die Verwaltung vorteilhaft ist, es ist aber nicht zwingend erforderlich.
Wenn Sie keine Gruppen verwenden, wählen Sie Vorhandene Richtlinien direkt anhängen. In Ihrem Konto wird eine Liste der von AWS verwalteten und vom Kunden verwalteten Richtlinien angezeigt.
Sie die Richtlinien, wählen Sie AmazonEC2FullAccess (eine von AWS verwaltete, vorkonfigurierte Richtlinie) und klicken Sie auf Weiter, um zur nächsten Seite zu gelangen.
Optional können Sie auf dieser Seite die Tags verwenden, um den Zugriff für diesen Benutzer zu organisieren, zu verfolgen oder zu kontrollieren.
Wenn die Tags fertig sind, klicken Sie auf Weiter, dann sehen Sie die gesamte bis dahin getroffene Auswahl. Wenn Sie bereit sind, fortzufahren, klicken Sie auf Benutzer erstellen.
Um die Zugriffsschlüssel-ID und die geheimen Zugriffsschlüssel des Benutzers anzuzeigen, klicken Sie auf Anzeigen neben jedem Kennwort und jedem Zugriffsschlüssel, das bzw. den Sie sehen möchten. Um die Zugangsschlüssel zu speichern, wählen Sie CSV herunterladen und speichern Sie die Datei an einem sicheren Ort.
Bitte beachten Sie, dass dies Ihre einzige Möglichkeit ist, die geheimen Zugangsschlüssel abzurufen oder herunterzuladen.
Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Ort, um sie anschließend in der Parallels RAS-Konsole zu verwenden.
Hinweis: Aus Sicherheitsgründen empfehlen wir, den Schlüssel für die IAM-Benutzer regelmäßig zu ändern, wie im Artikel https://aws.amazon.com/de/blogs/security/how-to-rotate-access-keys-for-iam-users/ beschrieben.
Weiter mit Schritt 2. Hinzufügen von AWS als Anbieter
So konfigurieren Sie Amazon Web Services als Cloud Computing-Anbieter:
Navigieren Sie in der RAS-Konsole zu Serverfarm > Anbieter.
Klicken Sie auf das Dropdownmenü Aufgaben und dann auf Hinzufügen (oder klicken Sie auf das +-Symbol).
Wählen Sie im Menü Amazon EC2. Der Assistent Cloud Computing-Anbieter hinzufügen wird geöffnet.
Geben Sie im Assistenten Folgendes an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Zugangsdaten verwalten: Die administrativen Konten, die für den Einsatz von Parallels Agents verwendet werden. Der aktuelle RAS-Administrator ist bereits in dieser Liste vertreten, aber Sie können weitere Konten hinzufügen.
Zugriffsschlüssel-ID: Ihre Zugriffsschlüssel-ID.
Geheimer Zugriffsschlüssel: Ihr geheimer Schlüssel.
Klicken Sie auf Weiter.
Warten Sie, bis Parallels RAS die Einstellungen überprüft hat und klicken Sie dann auf Weiter.
Wählen Sie die Region aus, die Sie verwenden möchten. In den meisten Fällen ist die beste Region diejenige, die Ihrem aktuellen Standort am nächsten ist. Sie können auch eine der AWS-Regionen auswählen, indem Sie die Option Opted-in-Region (mit einbezogene Region) auswählen oder eine benutzerdefinierte EC2-Endpunkt-URL angeben, indem Sie die Option EC2-Endpunkt-URL auswählen.
Klicken Sie auf Fertigstellen.
Erstellen Sie dann eine Vorlage, wie in VDI-Vorlage erstellen beschrieben. Während der Erstellung der Vorlage können Sie den Instanztyp für die Klone und den Speicher einschließlich Typ, Größe und IOPS konfigurieren. Hinweis: Das geht auch über Serverfarm > RD-Sitzungshosts > Rechtsklick auf die Vorlage > Eigenschaften.
Dieser Abschnitt enthält Design-Tipps, die Sie bei der Verwendung von AWS in Parallels RAS beachten sollten.
Festlegung der DHCP-Optionen
Möglicherweise müssen Sie einen AWS-DHCP-Optionssatz verwenden, um einen benutzerdefinierten DNS anzugeben, der auf den Domänencontroller verweist, damit die aus Vorlagen erstellten VMs der Active Directory-Domäne beitreten können. Wenn der benutzerdefinierte DNS nicht eingerichtet ist, wird der öffentliche Standard-DNS von AWS verwendet, und die VMs können nicht mit dem Domain Controller kommunizieren.
Informationen über die Konfiguration von DHCP-Optionssets finden Sie unter https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html.
Der Provider Agent und die Guest Agents müssen sich im selben Subnetz befinden, damit der Guest Agent den Provider Agent mithilfe von Broadcasts erkennen kann. Wenn dies nicht möglich ist, muss eine Registry-Einstellung mit der IP des Provider-Agenten auf der VM hinzugefügt werden, wie hier beschrieben: https://kb.parallels.com/en/124157?language=en
Servicekontingente
Manchmal skalieren Lösungen in Bezug auf Nutzung, Aufrufe, Anzahl der Instanzen usw. Dadurch können die standardmäßigen AWS-Servicekontingente erreicht werden. Weitere Informationen über AWS-Servicekontingente finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html.
Parallels RAS-Integrationen unterliegen den EC2- und EBS-Endpunkt-Grenzen, wie hier angegeben:
Speicherverschlüsselung
Der Speicher von Klonen, die aus RAS-Vorlagen erstellt wurden, wird verschlüsselt, wenn der AWS-Administrator die Verschlüsselung des VM-Speichers der RAS-Vorlage in der AWS-Managementkonsole aktiviert.
Die Verschlüsselung kann standardmäßig oder explizit beim Starten einer neuen EC2-VM aktiviert werden:
Weitere Informationen zur Verschlüsselung finden Sie unter https://aws.amazon.com/blogs/compute/must-know-best-practices-for-amazon-ebs-encryption/.