# EBS: Regiões que não estão aplicando criptografia de volumes EBS na criação > Esta regra identifica regiões AWS onde a configuração **EBS Encryption by Default** está desabilitada. > > O objetivo é garantir que todos os novos volumes EBS criados na região sejam automaticamente criptografados. *** **Contexto da regra e impacto no negócio** Quando o EBS Encryption by Default está desabilitado: * Novos volumes podem ser criados sem criptografia * Dados sensíveis podem ficar expostos * Há risco de não conformidade com políticas de segurança * Pode haver violação de requisitos regulatórios Impacto: * Risco de segurança * Risco regulatório * Risco reputacional * Não conformidade com boas práticas de cloud security Classificação: **SEGURANÇA + GOVERNANÇA** *** **Detalhamento técnico da regra** A regra percorre todas as regiões AWS habilitadas na tenancy. Para cada região: 1. Consulta a configuração regional de criptografia padrão do EBS. 2. Verifica o status da flag `EbsEncryptionByDefault`. 3. Sinaliza quando o valor for `False`. *** **Como a regra é executada** 1. Autenticação por região. 2. Execução da API: ``` ec2:GetEbsEncryptionByDefault ``` 3. Campo analisado: ``` EbsEncryptionByDefault ``` 4. Região é sinalizada quando: ``` EbsEncryptionByDefault = False ``` *** **Lógica aplicada** Uma região será sinalizada quando: ``` EbsEncryptionByDefault == False ``` Caso esteja `True`, a região é considerada em conformidade. *** **Campos analisados** Configuração regional EC2: * `EbsEncryptionByDefault` * `Region` * ARN lógico da configuração Campos reportados: * `setting_name` * `status` (Enabled / Disabled) * `is_encrypted` *** **Parâmetros considerados na busca** API utilizada: ``` ec2:GetEbsEncryptionByDefault ``` Não há filtros adicionais. *** **Período Avaliado (Filtro Temporal)** Não aplicável. A regra avalia a configuração atual da região. *** **Intervalo de Análise** Execução padrão: a cada 8 horas. *** **Impacto Financeiro** Esta regra não possui savings direto. O objetivo é: * Garantir proteção de dados * Evitar risco de incidentes * Garantir conformidade regulatória Impacto financeiro indireto pode ocorrer em caso de vazamento de dados ou não conformidade. *** **Exemplo de Impacto** Cenário: * Região us-east-1 * `EbsEncryptionByDefault = False` Resultado: Região sinalizada como risco. *** **Dicas de uso e boas práticas para o usuário** Recomendações: * Habilitar EBS Encryption by Default em todas as regiões. * Definir KMS CMK padrão corporativa. * Monitorar volumes não criptografados existentes. * Implementar SCP para forçar criptografia. Boas práticas: * Padronizar criptografia como requisito obrigatório. * Integrar controle ao processo de onboarding de contas. * Revisar configurações após criação de novas regiões.