¿Cómo puedo ver la información de cifrado de mi AMI o instantánea?

4 minutos de lectura
0

Quiero saber si mi imagen de máquina de Amazon (AMI) o instantánea está cifrada. Si es así, quiero saber si usa una clave administrada por AWS Key Management Service (AWS KMS) o una clave administrada por el cliente.

Resolución

Nota:

Utilice los comandos de AWS CLI para ver la información de cifrado

1.    Para ver las instantáneas asociadas a la AMI, ejecute el comando describe-images con el filtro de consulta BlockDeviceMappings. En el siguiente ejemplo, sustituya image-ids y region por el ID y la región de AWS de su AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

El resultado del ejemplo anterior muestra la instantánea asociada a la AMI. El parámetro Encrypted de la instantánea tiene el valor true.

2.    Ejecute el comando describe-snapshots. Use el snapshot-id de la instantánea que aparece en el resultado del comando describe-images:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

En la salida del comando, anote el KMSKeyId.

3.    Ejecute el comando describe-key para determinar si la clave es una clave de AWS KMS o una clave administrada por el cliente. En el siguiente comando, sustituya key-id por el KMSKeyId que aparece en el comando describe-snapshot. Sustituya region por la región de la instantánea.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

En el resultado del ejemplo anterior, el parámetro KeyManager es Customer. Esto indica que la clave es una clave administrada por el cliente. Para una clave de AWS KMS, el parámetro KeyManager es AWS.

Uso de la consola para ver la información de cifrado

  1. Abra la consola de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, seleccione AMI.
  2. Copie el ID de la AMI de la que desee obtener detalles.
  3. En Elastic Block Store, seleccione Instantáneas.
  4. Introduzca el ID de la AMI y, a continuación, presione INTRO.
  5. Seleccione la instantánea y, a continuación, en la pestaña Descripción, compruebe si el cifrado está configurado en Cifrado o No cifrado. Si la instantánea está cifrada, anote el ID de la clave de KMS y el ARN de la clave de KMS.
  6. Abra la consola de AWS KMS.
  7. Elija las claves administradas de AWS y, a continuación, introduzca el ID de clave de KMS. Si no aparece ningún resultado, elija Claves administradas por el cliente y, a continuación, introduzca el ID de clave de KMS.

Nota: No puede compartir AMI cifradas con una clave administrada de AWS. Para obtener más información, consulte Antes de compartir una instantánea.

Información relacionada

Conceptos de AWS KMS

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 7 meses