New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Wie erstelle ich ein verschlüsseltes AMI für Batch?
Ich möchte ein verschlüsseltes Amazon Machine Image (AMI) für AWS Batch erstellen.
Kurzbeschreibung
Sie können benutzerdefinierte AWS Key Management Service (AWS KMS)-Schlüssel verwenden, um Ihre AMIs zu verschlüsseln, und anschließend verschlüsselte AMIs verwenden, um AWS Batch-Instances zu starten.
Behebung
Erstellen eines Snapshots eines AMI, das für Amazon ECS optimiert ist
Führen Sie die folgenden Schritte aus:
- Starten Sie eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance, die auf einem für Amazon Elastic Container Service (Amazon ECS) optimierten AMI basiert.
Hinweis: Informationen zur Auswahl eines AMI finden Sie unter Amazon ECS-optimierte Linux AMIs. - Erstellen Sie einen Snapshot vom Root-Volume der EC2-Instance, die Sie gestartet haben.
- Um Gebühren zu vermeiden, löschen Sie die von Ihnen erstellte EC2-Instance.
Verschlüsseln Sie den Snapshot und erstellen Sie ein AMI des verschlüsselten Snapshots
Führen Sie die folgenden Schritte aus:
- Öffnen Sie die Amazon-EC2-Konsole.
- Wählen Sie im Navigationsbereich unter Elastic Block Store die Option Snapshots aus.
- Wählen Sie den Snapshot aus, den Sie erstellt haben, anschließend Aktionen und dann Kopieren.
- Wählen Sie im Fenster Snapshot kopieren unter Verschlüsselung Diesen Snapshot verschlüsseln aus.
- Wählen Sie als KMS-Schlüssel Ihren eigenen, vom Kunden verwalteten AWS KMS-Schlüssel aus.
Hinweis: Der für die Verschlüsselung in diesen Schritten verwendete Schlüssel ist ein symmetrischer Schlüssel. - Wählen Sie Snapshot kopieren aus.
- Wählen Sie den verschlüsselten Snapshot aus, nachdem er den Status „Abgeschlossen“ erreicht hat, anschließend Aktionen und dann Image aus Snapshot erstellen.
Hinweis: Sie können das AMI über die Amazon EC2-Konsole anzeigen lassen. Wählen Sie im Navigationsbereich im Abschnitt Images die Option AMIs aus.
Gewähren Sie der dienstverknüpften Rolle Zugriff auf den KMS-Schlüssel
Um einen vom Kunden verwalteten AWS-KMS-Schlüssel für die Amazon Elastic Block Store (Amazon EBS)-Verschlüsselung anzugeben, gewähren Sie der mit dem Service verknüpften Rolle Zugriff auf den Schlüssel. Dieser Zugriff kann Amazon EC2 Auto Scaling Instances in Ihrem Namen starten. Um diesen Zugriff zu gewähren, müssen Sie die Schlüsselrichtlinie Ihres KMS-Schlüssels ändern.
Wenn Sie die Richtlinie aktualisieren, legen Sie AWSServiceRoleForAutoScaling als Hauptbenutzer für den KMS-Schlüssel fest.
Um diese Richtlinie zu verwenden, ersetzen Sie den Amazon-Ressourcennamen (ARN) durch den ARN der serviceverknüpften Rolle, die auf den KMS-Schlüssel zugreifen kann.
Beispiel für eine Richtlinie:
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
Hinweis: Wenn Sie die Spot-Rechenumgebung mit einer Best-Fit-Strategie verwenden, verwenden Sie in der vorherigen Schlüsselrichtlinie AWSServiceRoleForEC2SpotFleet anstelle von AWSServiceRoleForAutoScaling.
Erstellen Sie eine neue Rechenumgebung
Erstellen Sie eine neue Rechenumgebung.
Wichtig: Wenn Sie Ihre Rechenumgebung erstellen, müssen Sie das die Option Benutzerdefinierte Ami-ID aktivieren auswählen. Geben Sie anschließend Ihre AMI-ID in das angezeigte Feld AMI-ID ein und wählen Sie AMI validieren aus.

Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr