結論

■質問：既存のEC2のEBS (rootボリューム) を暗号化できるか？
■回答：できる

■質問：無停止でEC2の暗号化されたEBS (rootボリューム) を差し替えできるか？
■回答：非暗号化EBSから暗号化されたEBSのコピーは無停止で差し替えできない。（以下の手順書に説明します）

作業の流れ

（任意）AWS KMSでキーを作成する
対象EC2のEBS スナップショットを取得する
非暗号化のEBSスナップショットから暗号化のEBSスナップショットを作成する
EBS暗号化されたスナップショットから暗号化のEBS ボリュームを作成する
EC2インスタンスで非暗号化されたEBSから暗号化されたEBSボリュームに差し替える

手順書

（任意）AWS KMSでキーを作成する

今回はデフォルトKMSキーを使いますので、このステップはスキップしますが、作り方だけ紹介します。

※同じAWSアカウント内の場合、defaultのキーは使えますが、別のアカウントの場合、KMSキーの作成が必須となります。今回の手順は同じアカウント内の作業となりますのでアカウント間の手順は省きます。

[AWS] > [AWS Key Management Service] > [キーの作成]をクリックします。

「キータイプ」及び「キーの使用法」（暗号化及び復号化）などを選択した上、[次へ]をクリックします。

次の画面で、[エイリアス]を記載し、[次へ]をクリックします。

次の画面で、[キーの管理アクセス許可を定義]を設定し、[次へ]をクリックし、[キーの使用法アクセス許可を定義]を設定し、[次へ]をクリックします。

次の画面で[完了]をクリックします。

今回はデフォルトキーを使うので、このキーを無効化し、削除します。

対象EC2のEBS スナップショットを取得する

対象EC2のEBSを選択し、スナップショットを取得します。

非暗号化のEBSスナップショットから暗号化のEBSスナップショットを作成する

非暗号化のEBSスナップショットを選択し、アクションもしくは右クリック > [スナップショットをコピー]をクリックします。

必要な欄を記載し、[暗号化]にチェックを入れて、キーを選択します。

ステータスが「完了済み」になるまで待機します。

無停止で暗号化されたか確認する（余談のため、スキップしても問題ない）

上記の暗号化されたEBSを選択し、[置き換えタスクを作成]をクリックしますと、下記のエラーが発生しました。

snap-XXX を使用して i-0606f85f472df06ba の復元ボリュームタスクを作成できませんでした
Invalid snapshot for root volume for virt i-0606f85f472df06ba. The snapshot should be of one of the root volumes attached to the instance in the past

理由：無停止でEBSのrootボリュームを差し替えるためには、対象のインスタンスで作成したスナップショットしか使えないからです。ただし、EBSボリュームを暗号化するためにスナップショットからコピーを作る必要があるので、異なるEBSスナップショットとして認識されています。

ちなみに、非暗号化EBSは元のEBSボリュームとして認識されているため、無停止で置き換えすることができますが、1分程度のダウンタイムが発生します。

64 bytes from 54.250.245.198: icmp_seq=228 ttl=243 time=55.022 ms
Request timeout for icmp_seq 229
省略
Request timeout for icmp_seq 282
64 bytes from 54.250.245.198: icmp_seq=283 ttl=243 time=65.027 ms