PAM ではインスタンスが作成されると、PAM ディスクのパーティション /dev/sda1 ((AWS では /dev/xvda1) が AES128 (2022 年 10 月現在) 暗号化を使用して暗号化され、ループ デバイス (loop-aes ユーティリティを使用) が作成され、これがルート ファイル システム / としてマウントされます。
このループ デバイスは、PAM 操作中にシームレスに使用されるデバイスです。

/boot にマウントされたパーティション /dev/sda2 (AWS では /dev/xdva2) は暗号化されていませんが、暗号化されていないのはこれだけであり、アプライアンスの起動に必要なファイルのみが含まれています。

この暗号化により、PAM ディスクが取り外されて別のマシンに接続しようとしても、ルート パーティションをマウントして使用できなくなります。

オンプレミスの仮想マシン (VMWARE など) の既に暗号化されたパーティションを暗号化するために他の補助的な暗号化方法を使用することについては、このドキュメントの執筆時点 (2022 年 10 月) では PAM でテストされていません。したがって、このような追加の暗号化が PAM 操作に与える影響は不明です。

ただし、Azure、Google Cloud、Amazon AWS などのクラウド システムの場合、ディスクがセットアップされるたびに、それらのクラウド ベンダーの仕様要件に従って暗号化されるため、ディスク全体が暗号化され、さらにこの記事で説明されている /dev/sda1 パーティションの暗号化プロセスが適用されます。

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 251646: Are Symantec PAM filesystems encrypted?