¿Cómo puedo ver la información de cifrado de mi AMI o instantánea?

Resolución

Nota:

• Si recibe errores al ejecutar los comandos de la lnterfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.
• JSON es la salida predeterminada de AWS CLI. Puedes usar el formato predeterminado o agregar --output json a los comandos para recibir un resultado similar al de los siguientes ejemplos de resultados. Para obtener más información, consulte Configurar el formato de salida.

Utilice los comandos de AWS CLI para ver la información de cifrado

1.    Para ver las instantáneas asociadas a la AMI, ejecute el comando describe-images con el filtro de consulta BlockDeviceMappings. En el siguiente ejemplo, sustituya image-ids y region por el ID y la región de AWS de su AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

El resultado del ejemplo anterior muestra la instantánea asociada a la AMI. El parámetro Encrypted de la instantánea tiene el valor true.

2.    Ejecute el comando describe-snapshots. Use el snapshot-id de la instantánea que aparece en el resultado del comando describe-images:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

En la salida del comando, anote el KMSKeyId.

3.    Ejecute el comando describe-key para determinar si la clave es una clave de AWS KMS o una clave administrada por el cliente. En el siguiente comando, sustituya key-id por el KMSKeyId que aparece en el comando describe-snapshot. Sustituya region por la región de la instantánea.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

En el resultado del ejemplo anterior, el parámetro KeyManager es Customer. Esto indica que la clave es una clave administrada por el cliente. Para una clave de AWS KMS, el parámetro KeyManager es AWS.

Uso de la consola para ver la información de cifrado

1. Abra la consola de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, seleccione AMI.
2. Copie el ID de la AMI de la que desee obtener detalles.
3. En Elastic Block Store, seleccione Instantáneas.
4. Introduzca el ID de la AMI y, a continuación, presione INTRO.
5. Seleccione la instantánea y, a continuación, en la pestaña Descripción, compruebe si el cifrado está configurado en Cifrado o No cifrado. Si la instantánea está cifrada, anote el ID de la clave de KMS y el ARN de la clave de KMS.
6. Abra la consola de AWS KMS.
7. Elija las claves administradas de AWS y, a continuación, introduzca el ID de clave de KMS. Si no aparece ningún resultado, elija Claves administradas por el cliente y, a continuación, introduzca el ID de clave de KMS.

Nota: No puede compartir AMI cifradas con una clave administrada de AWS. Para obtener más información, consulte Antes de compartir una instantánea.

Información relacionada

Conceptos de AWS KMS