Wie kann ich Informationen zur Verschlüsselung meines AMIs oder Snapshots einsehen?

Lesedauer: 3 Minute
0

Ich möchte wissen, ob mein Amazon Machine Image (AMI) oder Snapshot verschlüsselt ist. Wenn ja, möchte ich wissen, ob es einen vom AWS Key Management Service (AWS KMS) verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel verwendet.

Behebung

Hinweis:

Verwenden von AWS-CLI-Befehlen, um Verschlüsselungsinformationen anzuzeigen

1.Führen Sie den Befehl describe-images mit dem BlockDeviceMappings-Abfragefilter aus, um die mit dem AMI verknüpften Snapshots anzuzeigen. Ersetzen Sie im folgenden Beispiel image-ids und region durch die ID und AWS-Region Ihres AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

Die vorherige Beispielausgabe zeigt den Snapshot, der mit dem AMI verknüpft ist. Der Encrypted-Parameter des Snapshots ist auf true gesetzt.

2.Führen Sie den Befehl describe-snapshots aus. Verwenden Sie die snapshot-id des Snapshots, die in der Ausgabe des Befehls describe-images aufgeführt ist:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

Notieren Sie sich die KMSKeyId in der Befehlsausgabe.

3.Führen Sie den Befehl describe-key aus, um festzustellen, ob der Schlüssel von AWS KMS oder vom Kunden verwaltet wird. Ersetzen Sie im folgenden Befehl key-id durch die KMSKeyId, die in der Befehlsausgabe für describe-snapshot aufgeführt ist. Ersetzen Sie region durch die Region des Snapshots.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

In der obigen Beispielausgabe lautet der KeyManager-Parameter Customer. Dies bedeutet, dass es sich um einen vom Kunden verwalteten Schlüssel handelt. Bei einem von AWS KMS verwalteten Schlüssel ist AWS für den Parameter KeyManager angegeben.

Verwenden der Konsole, um Verschlüsselungsinformationen anzuzeigen

  1. Öffnen Sie die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole und wählen Sie dann „AMIs“ aus.
  2. Kopieren Sie die ID des AMI, für das Sie Details benötigen.
  3. Wählen Sie unter Elastic Block Store die Option Snapshots.
  4. Geben Sie die AMI-ID ein und drücken Sie die EINGABETASTE.
  5. Wählen Sie den Snapshot aus und überprüfen Sie auf der Registerkarte Beschreibung, ob Verschlüsselung auf Verschlüsselt oder Nicht verschlüsselt gesetzt ist. Wenn der Snapshot verschlüsselt ist, notieren Sie sich die KMS-Schlüssel-ID und den KMS-Schlüssel-ARN.
  6. Öffnen Sie die AWS-KMS-Konsole.
  7. Wählen Sie Von AWS verwaltete Schlüssel und geben Sie die KMS-Schlüssel-ID ein. Wenn keine Ergebnisse angezeigt werden, wählen Sie Kundenverwaltete Schlüssel und geben Sie die KMS-Schlüssel-ID ein.

Hinweis: Sie können keine AMIs teilen, die mit einem von AWS verwalteten Schlüssel verschlüsselt sind. Weitere Informationen finden Sie unter Before you share a snapshot.

Ähnliche Informationen

AWS KMS concepts

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 7 Monaten