Comment puis-je consulter les informations de chiffrement relatives à mon AMI ou à mon instantané ?

Lecture de 3 minute(s)
0

Je veux savoir si mon Amazon Machine Image (AMI) ou mon instantané sont chiffrés. Si c'est le cas, je veux savoir s'il utilise une clé gérée par AWS Key Management Service (AWS KMS) ou une clé gérée par le client.

Résolution

Remarque :

Utiliser les commandes de l'AWS CLI pour afficher les informations de chiffrement

1.    Pour afficher les instantanés associés à l'AMI, exécutez la commande describe-images avec le filtre de requête BlockDeviceMappings. Dans l'exemple suivant, remplacez image-ids et region par l'ID et la région AWS de votre AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

L'exemple de sortie précédent montre l’instantané associé à l'AMI. Le paramètre Chiffré de l'instantané est défini sur true.

2.    Exécutez la commande describe-snapshots. Utilisez le snapshot-id de capture de l'instantané répertorié dans le résultat de la commande describe-images :

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

Dans la sortie de commande, notez le KMSKeyID.

3.    Pour déterminer s'il s'agit d'une clé AWS KMS ou d'une clé gérée par le client, exécutez la commande describe-key. Dans la commande suivante, remplacez key-id par le KMSKeyID répertorié dans la commande describe-snapshot. Remplacez region par la région de l'instantané.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

Dans l'exemple de sortie précédent, le paramètre KeyManager est Customer. Cela indique que la clé est une clé gérée par le client. Pour une clé AWS KMS, le paramètre KeyManager est AWS.

Utiliser la console pour afficher les informations de chiffrement

  1. Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2), puis sélectionnez AMI.
  2. Copiez l'ID de l'AMI dont vous souhaitez obtenir des informations.
  3. Sous Elastic Block Store, sélectionnez Snapshots.
  4. Entrez l'ID AMI, puis appuyez sur ENTER.
  5. Sélectionnez l’instantané, puis dans l'onglet Description, vérifiez si le Chiffrement est défini sur Chiffré ou Non chiffré. Si l’instantané est chiffré, notez l'**ID de clé KMS ** et l'ARN de la clé KMS.
  6. Ouvrez la console AWS KMS.
  7. Choisissez les clés gérées par AWS, puis entrez l'ID de clé KMS. Si aucun résultat n'apparaît, choisissez Clés gérées par le client, puis entrez l'ID de clé KMS.

Remarque : vous ne pouvez pas partager d'AMI chiffrées à l'aide d'une clé gérée par AWS. Pour plus d'informations, voir Avant de partager un instantané.

Informations connexes

Concepts d'AWS KMS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois