Comment puis-je afficher les informations de chiffrement sur mon AMI ou mon instantané ?

Lecture de 4 minute(s)

Comment puis-je déterminer si mon Amazon Machine Image (AMI) ou mon instantané est chiffré, et si c'est le cas, s'il utilise une clé AWS KMS gérée par AWS (clé KMS) ou une clé gérée par le client ?

Brève description

Vous pouvez afficher les informations de chiffrement pour vos instantanés ou AMI à l'aide de la console ou de l'interface de ligne de commande AWS (AWS CLI).

Résolution

Remarques :

Si vous recevez des erreurs lors de l'exécution des commandes AWS CLI, assurez-vous que vous utilisez la version la plus récente de l'interface de AWS CLI.
JSON est la sortie par défaut de l'AWS CLI. Vous pouvez utiliser la valeur par défaut ou ajouter —output json aux commandes pour recevoir la sortie, comme illustré dans les exemples suivants. Pour plus d'informations, consultez Comment filtrer la sortie avec l'option —requête.

Afficher les informations de chiffrement à l'aide des commandes AWS CLI

1. Exécutez la commande describe-images avec le filtre de requête BlockDeviceMappings pour afficher les instantanés associés à l'AMI. Dans l'exemple suivant, remplacez les image-ids et la région par l'ID et la région de votre AMI.

# aws ec2 describe-images --image-ids ami-xxxxxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"
[
    [
        {
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-xxxxxxxxx",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }
    ]
]

L'exemple de sortie de commande précédent montre que l'instantané associé à l'AMI a le paramètre Chiffré défini sur vrai.

2. Exécutez la commande describe-snapshots à l'aide de l' snapshot-id de l'instantané répertorié dans la sortie de la commande describe-images :

# aws ec2 describe-snapshots --snapshot-ids snap-xxxxxxxxx  --region eu-west-1
{
    "Snapshots": [
        {
            "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-xxxxxxxxx",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }
    ]
}

Dans la sortie de la commande, notez la valeur KMSKeyId.

3. Exécutez la commande describe-key pour déterminer si la clé est une clé gérée AWS ou une clé gérée par le client. Dans la commande suivante, remplacez key-id par le KMSKeyId répertorié dans la commande describe-snapshot. Remplacez la region par la région de l'instantané.

# aws kms describe-key --key-id dcd4d062-xxxxxxxxx-xxxxxxxxx  --region eu-west-1
{
    "KeyMetadata": {
        "AWSAccountId": "92xxxxxxxxx",
        "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
        "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Dans l'exemple de sortie précédent, le paramètre « KeyManager » est « Customer », indiquant que la clé est une clé gérée par le client. Pour une clé gérée par AWS, le paramètre « KeyManager » est « AWS».

Afficher les informations de chiffrement à l'aide de la console

1. Ouvrez la console Amazon EC2, puis choisissez les AMI.

2. Copiez l'ID de l'AMI pour laquelle vous souhaitez obtenir des détails.

3. Sous Elastic Block Store, sélectionnez Instantanés.

4. Collez l'ID d’AMI dans la zone de recherche, puis appuyez sur ENTRÉE.

5. Sélectionnez l'instantané, puis dans l'onglet Description vérifiez si le Chiffrement est défini sur Chiffré ou Non chiffré. Si l'instantané est chiffré, notez l' ID de clé KMS et l' ARN de clé KMS.

6. Ouvrez la console AWS Key Management Service (AWS KMS).

7. Sélectionnez les clés gérées par AWS puis collez l' ID de clé KMS dans la zone de filtre. Si aucun résultat n'apparaît, choisissez Clés gérées par le client puis collez l' ID de clé KMS dans la zone de filtre.

Remarque : vous ne pouvez pas partager des AMI chiffrées avec une clé gérée par AWS. Pour plus d'informations, consultez Partage d'un instantané - Considérations.

Informations connexes

Concepts AWS KMS

Sujets

Stockage

Balises

Amazon Elastic Block Store

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 2 mois
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a 3 mois
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 2 mois
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un mois
Création image AMI fait passer instance EC2 en erreur
Erwan
demandé il y a 13 jours
Comment résoudre les problèmes liés à la création d'un volume Amazon EBS à partir de mon instantané ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment puis-je activer le chiffrement automatique des nouveaux volumes Amazon EBS et des copies d'instantanés créés dans mon compte ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment puis-je chiffrer un volume EBS non chiffré existant ou modifier la clé de chiffrement utilisée par mon volume ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment mettre à jour les informations d'identification de mon référentiel privé sur un agent de conteneur Amazon ECS ?
AWS OFFICIELA mis à jour il y a 2 ans