Ключи AWS KMS при копировании снимков

Фон

Недавно я открыл учетную запись веб-служб Amazon для запуска веб-сервера для малого бизнеса. Я запустил экземпляр EC2 с незашифрованным томом и теперь хочу зашифровать этот том.

Согласно документации Amazon и другим источникам, простой способ сделать это - создать моментальный снимок незашифрованного тома EBS, скопировать его в зашифрованный моментальный снимок и использовать его для создания зашифрованного тома.

подробности

Когда я пытаюсь скопировать исходный снимок и выбрать шифрование, мне предоставляется раскрывающийся список из трех "Мастер-ключей" (один помечен как "(по умолчанию) aws/ebs"), а остальные просто отображают их идентификатор, поэтому я ' Я назову их key1 и key2) со следующими деталями:

Description:    Default master key that protects my EBS volumes when no other key is defined
Account:        This account (xxxxxxxxxxxxx)
KMS Key ID:     XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
KMS Key ARN:    arn:aws:kms:eu-central-1:xxxxxxxxxxxxx:key/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Если я пытаюсь использовать ключ key1 для копии, она всегда дает сбой, и я получаю статус ошибки на новом снимке; если я попробую key2, это сработает. Но я не понимаю почему.

Я вижу список ключей выше (еще один с надписью "aws / lightsail"), когда я захожу в "Консоль> IAM > Ключи шифрования" и выбираю соответствующий регион. На этой странице также есть опция "Создать ключ", хотя я никогда не использовал ее.

Вопросы

Я смотрю на разные Amazon и внешние страницы с информацией, но я просто не могу понять, как работает эта система.

• Я понимаю, что ключи живут в облаке AWS и шифрование / дешифрование является прозрачным. От кого или от чего эти ключи защищают меня (от незашифрованной версии тома)?
• Почему одно работает, а другое не для процесса копирования?
• Есть ли какая-либо информация, которую я должен сохранить отдельно (локально) для обеспечения безопасности / будущего использования (чтобы не быть заблокированным в случае непредвиденных ситуаций)?

Как вы, вероятно, можете сказать, я совершенно запутался в этом, поэтому, возможно, я даже не задаю правильные вопросы. Я был бы очень признателен, если бы кто-нибудь помог мне разобраться во всей системе.