Comment puis-je partager des AMI chiffrées entre des comptes AWS pour lancer des instances EC2 chiffrées ?

Lecture de 5 minute(s)
0

Je souhaite partager des Amazon Machine Images (AMI) chiffrées entre des comptes AWS pour lancer des instances Amazon Elastic Compute Cloud (Amazon EC2) chiffrées.

Résolution

Suivez ces prérequis et ces étapes pour partager des AMI chiffrées, puis lancer des instances chiffrées.
Remarque : Si vous recevez des messages d’erreur lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Prérequis

Comptes AWS

Pour partager une AMI, vous avez besoin des deux types de comptes AWS suivants :

  • Compte source : Compte AWS utilisé pour créer une AMI personnalisée, puis chiffrer les instantanés Amazon Elastic Block Store (Amazon EBS) associés.
  • Compte cible : Compte AWS utilisé pour lancer des instances EC2 chiffrées avec des AMI personnalisées partagées.

L'exemple de cet article utilise l'ID de compte 111111111111 pour le compte source et l'ID de compte 999999999999 pour le compte cible.

Clé AWS KMS gérée par le client

Les clés gérées par le client sont des clés AWS Key Management Service (AWS KMS) que vous créez. Créez une clé AWS KMS dans le compte source de la même région AWS.

L'exemple de cet article utilise une clé AWS KMS avec l'alias CMKSource sous l'ID de compte source 111111111111 dans la région us-east-1. L'alias **cmkSource **chiffre l'ID AMI ami-1234578, puis le partage avec l'ID de compte cible 999999999999.
Remarque : Assurez-vous également de vérifier les limitations et les bonnes pratiques.

Créer une politique d'utilisateur ou de rôle IAM pour le compte source

Suivez ces étapes pour utiliser AWS Identity and Access Management (IAM) afin de créer une politique d'utilisateur ou de rôle pour le compte source. Ajoutez ensuite l'ID du compte cible à la politique de clé AWS KMS.

  1. Créez une politique d'utilisateur ou de rôle IAM pour le compte source comme suit :

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "ec2:ModifyImageAttribute"
          ],
          "Resource": [
            "arn:aws:ec2:us-east-1::image/12345678"
          ]
        }
      ]
    }
  2. Ouvrez la console AWS KMS.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client, puis choisissez votre clé AWS KMS. Par exemple, cmkSource.

  4. Dans Autres comptes AWS, sélectionnez Ajouter d'autres comptes AWS, puis Ajouter un autre compte AWS.

  5. Dans le champ arn:aws:iam::, saisissez l'ID de votre compte cible. Par exemple, 999999999999.

  6. Sélectionnez Enregistrer les modifications.

Créer un paramètre de politique d'utilisateur ou de rôle IAM pour le compte cible

Créez une politique d'utilisateur ou de rôle IAM pour le compte cible comme suit :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:ReEncrypt*",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlainText"
      ],
      "Resource": [
        "arn:aws:kms:us-east-1:111111111111:key/key-id of cmkSource"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": [
        "arn:aws:kms:us-east-1:111111111111:key/key-id of cmkSource"
      ],
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": true
        }
      }
    }
  ]
}

Cette politique vous permet d'utiliser la clé AWS KMS du compte source pour chiffrer les nouvelles instances lancées depuis le compte cible.

Partager l'AMI avec le compte cible

Pour partager une AMI, procédez comme suit :

Remarque : Vous ne pouvez pas partager une AMI provenant de différentes régions AWS. Vous pouvez copier l'AMI, puis la partager ou la lancer dans une nouvelle région. Pour plus d'informations, consultez la section Comment créer une AMI dans une région AWS, puis la copier dans une autre ?

Lancer une instance à partir de l'AMI chiffrée partagée

Suivez ces étapes pour lancer une instance à partir de l'AMI chiffrée partagée

  1. Ouvrez la console EC2.
  2. Dans le volet de navigation, sélectionnez Tableau de bord EC2, puis Lancer une instance.
  3. Sous Noms et balises, pour Nom, saisissez le nom de l’instance.
  4. Sous Images de l'application et du système d'exploitation (Amazon Machine Image), sélectionnez Explorer plus d’AMI pour rechercher l'AMI chiffrée partagée. Sélectionnez Mes AMI, puis Partagé avec moi.
  5. Sous Type d'instance, choisissez un type d'instance.
  6. Sous Paire de clés (connexion), dans Nom de la paire de clés, choisissez une paire de clés. Vous pouvez également en créer une.
  7. (Facultatif) Sous Paramètres réseau, sélectionnez Modifier, puis votre VPC et Sous-réseau.
  8. Sous Configurer le stockage, sélectionnez Avancé.
  9. Sous Volumes EBS, développez Volume.
  10. Sous Chiffré, sélectionnez Chiffré.
  11. Sous Clé KMS, sélectionnez Spécifier une valeur personnalisée et saisissez l'ARN complet. Par exemple, 'arn:aws:kms:us-east-1:111111111111:key/key-id of cmkSource'.
    Remarque : Si vous ne choisissez pas de clé AWS KMS, la clé KMS par défaut pour le chiffrement EBS du compte cible est utilisée.
  12. Sous Résumé, sélectionnez Lancer l'instance.

Pour plus d'informations, consultez la section Utiliser l'assistant de lancement d'une nouvelle instance pour lancer une instance.

Remarque : Les étapes pour lancer une instance à partir d'une AMI chiffrée partagée sont les mêmes que pour une instance dotée d'une AMI personnalisée. Pour plus d’informations, consultez la section Comment lancer une instance EC2 à partir d’une AMI personnalisée ?

Informations connexes

Comment puis-je partager une Amazon Machine Image (AMI) de manière privée avec un autre compte AWS ?

Scénarios de lancement d'instance

Lancer votre instance

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an