¿Cómo creo una AMI cifrada para AWS Batch?
Quiero crear una imagen de máquina de Amazon (AMI) cifrada para AWS Batch.
Descripción breve
Puede utilizar claves personalizadas de AWS Key Management Service (AWS KMS) para cifrar las AMI y, a continuación, utilizar las AMI cifradas para lanzar instancias de AWS Batch.
Resolución
Cree una instantánea de una AMI optimizada para Amazon Elastic Container Service (Amazon ECS)
- Lance una instancia de Amazon Elastic Compute Cloud (Amazon EC2) basada en una AMI optimizada para Amazon ECS.
**Nota:**Para elegir una AMI, consulte AMI optimizadas para Amazon ECS para Linux.
-
Cree una instantánea a partir del volumen raíz de la instancia de EC2 que lanzó en el paso 1.
-
Para evitar cargos, elimine la instancia EC2 creada en el paso 1.
Cifre la instantánea y cree una AMI de la instantánea cifrada
1. Abra la consola de Amazon EC2.
-
Desde la sección Elastic Block Store del panel de navegación, seleccione Instantáneas.
-
Seleccione la instantánea que creó anteriormente, elija Acciones y, a continuación, elija Copiar.
-
En la ventanaCopiar instantánea, en Cifrado, active la casilla Cifrar esta instantánea.
-
Para la clave raíz, elija su propia clave de AWS KMS administrada por el cliente.
**Nota:**La clave utilizada para el cifrado en estos pasos es una clave simétrica.
-
Elija **Copiar** y, a continuación, seleccione **Cerrar**. -
Seleccione la instantánea cifrada cuando pase al estado Completada, elija Accionesy a continuación, elija Crear imagen.
Ahora dispone de una AMI cifrada que puede utilizar para lanzar sus instancias de AWS Batch.
**Nota:**Puede ver la AMI desde la consola Amazon EC2. En la sección Imágenes del panel de navegación, seleccione AMIs.
Otorgue al rol vinculado al servicio acceso a la clave de KMS<br>
Si especifica una clave de KMS administrada por el cliente para el cifrado de Amazon Elastic Block Store (Amazon EBS), debe conceder acceso a la clave de KMS al rol vinculado al servicio correspondiente. Esto permite que Amazon EC2 Auto Scaling lance instancias en su nombre. Para proporcionar este acceso, debe modificar la política de claves de su clave de KMS.
Al actualizar la política, asegúrese de configurar AWSServiceRoleForAutoScaling como el usuario clave de la clave de KMS.
Si utiliza esta política, sustituya el nombre de recurso de Amazon (ARN) por el ARN del rol vinculado al servicio correspondiente al que se permite el acceso a la clave de KMS. Consulte el siguiente ejemplo de impresión:
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
**Nota:**Si utiliza el entorno de computación puntual con la mejor estrategia que se adapte, utilice AWSServiceRoleForec2SpotFleet en lugar de AWSServiceRoleForAutoScaling en la política clave anterior.
Cree un nuevo entorno de cómputo
Cree un nuevo entorno de cómputo.
Importante:Al crear su entorno de procesamiento, debe seleccionar la casillaHabilitar el ID de Ami especificado por el usuario. A continuación, introduzca su ID de AMI en el cuadro ID de AMI que aparece y seleccione Validar AMI.
Contenido relevante
OFICIAL DE AWSActualizada hace 9 meses- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 4 meses
- OFICIAL DE AWSActualizada hace 8 meses