Come posso creare un'AMI crittografata per Batch AWS?
Desidero creare un'Amazon Machine Image (AMI) crittografata per Batch AWS.
Breve descrizione
Puoi utilizzare chiavi del Servizio di gestione delle chiavi AWS (AWS KMS) personalizzate per crittografare le tue AMI e quindi utilizzare le AMI crittografate per avviare istanze Batch AWS.
Risoluzione
Crea un'istantanea di un'AMI ottimizzata per Amazon Elastic Container Service (Amazon ECS)
1. Avvia un'istanza Amazon Elastic Compute Cloud (Amazon EC2) basata su un'AMI ottimizzata per Amazon ECS.
Nota: per scegliere un'AMI, consulta AMI Linux ottimizzate per Amazon ECS.
2. Crea uno snapshot dal volume root dell'istanza EC2 che hai avviato nel passaggio 1.
3. Per evitare eventuali addebiti, elimina l'istanza EC2 creata nel passaggio 1.
Esegui la crittografia dello snapshot e crea un'AMI dello snapshot crittografato
1. Apri la console Amazon EC2.
2. Dalla sezione Elastic Block Store del pannello di navigazione, scegli Snapshot.
3. Seleziona lo snapshot che hai creato in precedenza, scegli Azioni, quindi scegli Copia.
4. Nella finestra Copia snapshot, per Crittografia, seleziona la casella di controllo Esegui la crittografia di questo snapshot.
5. Per Chiave root, scegli la tua chiave AWS KMS gestita dal cliente.
Nota: la chiave utilizzata per la crittografia in questi passaggi è una chiave simmetrica.
6. Scegli Copia, quindi seleziona Chiudi.
7. Seleziona lo snapshot crittografato dopo che è passato allo stato completato, scegli Azioni, quindi seleziona Crea immagine.
Ora disponi di un'AMI crittografata che puoi utilizzare per avviare le tue istanze Batch AWS.
Nota: puoi visualizzare l'AMI dalla console Amazon EC2. Nella sezione Immagini del pannello di navigazione, scegli AMI.
Consenti al ruolo collegato al servizio di accedere alla chiave KMS<br>
Se specifichi una chiave KMS gestita dal cliente per la crittografia Amazon Elastic Block Store (Amazon EBS), devi fornire al ruolo collegato al servizio appropriato l'accesso alla chiave KMS. Ciò consente a Dimensionamento automatico Amazon EC2 di avviare istanze per tuo conto. Per fornire questo accesso, devi modificare la policy della chiave della tua chiave KMS.
Quando aggiorni la policy, assicurati di impostare AWSServiceRoleForAutoScaling come utente della chiave KMS.
Se utilizzi questa policy, sostituisci il nome della risorsa Amazon (ARN) con l'ARN del ruolo collegato al servizio appropriato a cui è consentito l'accesso alla chiave KMS. Vedi il seguente esempio di policy:
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
Nota: se stai utilizzando l'ambiente di calcolo spot con la strategia Migliore adattamento, utilizza AWSServiceRoleForEC2SpotFleet anziché AWSServiceRoleForAutoScaling nella policy della chiave precedente.
Crea un nuovo ambiente di calcolo
Crea un nuovo ambiente di calcolo.
Importante: quando crei il tuo ambiente di calcolo, devi selezionare la casella di controllo Abilita l'ID dell'istanza AMI specificato dall'utente. Quindi, inserisci il tuo ID AMI nella casella ID AMI che appare e scegli Convalida istanza AMI.
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 9 mesi fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa