Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso condividere AMI crittografate tra account per avviare istanze EC2 crittografate?

3 minuti di lettura
0

Desidero condividere Amazon Machine Images (AMI) crittografate tra account AWS per avviare istanze crittografate Amazon Elastic Compute Cloud (Amazon EC2).

Risoluzione

**Prerequisito:**Assicurati di rispettare i requisiti per condividere le AMI.

Per condividere AMI crittografate tra più account, completa i seguenti passaggi:

  1. Rivedi i dettagli della crittografia delle AMI.
    Nota: non puoi condividere chiavi gestite da AWS tra più account. Di conseguenza, non puoi condividere AMI crittografate con la chiave gestita AWS predefinita. Se hai utilizzato una chiave gestita da AWS per crittografare l'AMI, copia l'AMI e utilizza una chiave gestita dal cliente per crittografare la nuova AMI.
  2. Condividi l'AMI con l'account di destinazione.
    Nota: l'account di destinazione è l'account che avvia le istanze EC2 crittografate con AMI personalizzate condivise.
  3. Modifica la policy della chiave per consentire agli utenti dell'account di destinazione di accedere alla chiave del Servizio AWS di gestione delle chiavi (AWS KMS).
  4. Crea un utente o un ruolo AWS Identity and Access Management (AWS IAM) nell'account di destinazione. Quindi collega una policy al ruolo che le assegna le autorizzazioni DescribeKey, ReEncrypt*, Decrypt, GenerateDataKeyWithoutPlainText e CreateGrant per la chiave AWS KMS. Esempio di policy: 
    {  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:ReEncrypt*",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlainText",
        "kms:CreateGrant"
      ],
      "Resource": [
        "arn:aws:kms:us-east-1:111111111111:key/cmkSource"
      ]
    }
  ]
}
    Nota: sostituisci 111111111111 con l'ID dell'account di origine con l'AMI crittografata, us-east-1 con la tua Regione AWS e cmkSource on l'ID della chiave gestita dal cliente.
  5. Apri la console Amazon EC2.
  6. Nel pannello di navigazione, scegli EC2 dashboard (Dashboard EC2), quindi scegli Avvia istanza.
  7. In Names and tags (Nomi e tag), per Nome, inserisci un nome per l’istanza.
  8. In Application and OS Images (Amazon Machine Image) (Immagini del sistema operativo e delle applicazioni (Amazon Machine Image), scegli Sfoglia altre AMI per individuare l'AMI crittografata condivisa.
  9. Scegli Le mie AMI, quindi scegli Condivise con me.
  10. In Tipo di istanza, seleziona un tipo di istanza.
  11. In Coppia di chiavi (login), per Nome della coppia di chiavi, seleziona una coppia di chiavi. Oppure creane uno nuovo.
  12. (Facoltativo) In Impostazioni di rete, scegli ** Modifica**, quindi seleziona il cloud privato virtuale (VPC) o le sottoreti.
  13. In Configura archiviazione, scegli Avanzate.
  14. In Volumi EBS, espandi Volume.
  15. In Crittografato, scegli Crittografato.
  16. In Chiave KMS, scegli Specifica un valore personalizzato, quindi inserisci il nome della risorsa Amazon (ARN) completo della chiave. Ad esempio, arn:aws:kms:us-east-1:111111111111:key/key-id.
    Nota: se non scegli una chiave AWS KMS, Amazon EC2 utilizza la chiave predefinita dell'account di destinazione per la crittografia di Amazon Elastic Block Store (Amazon EBS).
  17. In Riepilogo, scegli Avvia istanza.

Per ulteriori informazioni, consulta Avvia un' EC2 istanza utilizzando la procedura guidata di avvio dell'istanza nella console.

Informazioni correlate

Come faccio a condividere un'Amazon Machine Image (AMI) privatamente con un altro account AWS?

Scenari di avvio di istanze

Avvia un'istanza Amazon EC2

Come faccio a lanciare un'istanza EC2 da un AMI personalizzata?

Argomenti
Compute
Tag
LinuxAmazon EC2Windows
Lingua
Italiano
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente