Como faço para criar uma AMI criptografada para o AWS Batch?
Quero criar uma imagem de máquina da Amazon (AMI) criptografada para o AWS Batch.
Breve descrição
Você pode usar chaves personalizadas do AWS Key Management Service (AWS KMS) para criptografar suas AMIs e, em seguida, usar AMIs criptografadas para executar instâncias do AWS Batch.
Resolução
Crie um snapshot de uma AMI otimizada para o Amazon Elastic Container Service (Amazon ECS)
1. Execute uma instância do Amazon Elastic Compute Cloud (Amazon EC2) com base em uma AMI otimizada para o Amazon ECS.
Observação: para escolher uma AMI, consulte AMIs otimizadas para o Amazon ECS do Linux.
2. Crie um snapshot do volume raiz da instância do EC2 que você executou na etapa 1.
3. Para evitar cobranças, exclua a instância do EC2 criada na etapa 1.
Criptografe o snapshot e crie uma AMI do snapshot criptografado
1. Abra o console do Amazon EC2.
2. Na seção Elastic Block Store do painel de navegação, escolha Snapshots.
3. Selecione o snapshot que você criou anteriormente, escolha Ações e, em seguida, escolha Copiar.
4. Na janela Copiar snapshot, em Criptografia, marque a caixa de seleção Criptografar este snapshot.
5. Em Chave raiz, escolha sua própria chave do AWS KMS gerenciada pelo cliente.
Observação: a chave usada para criptografia nessas etapas é uma chave simétrica.
6. Escolha Copiar e, em seguida, selecione Fechar.
7. Selecione o snapshot criptografado depois que ele for movido para o status concluído, escolha Açõese, em seguida, escolha Criar imagem.
Agora você tem uma AMI criptografada que pode ser usada para executar suas instâncias do AWS Batch.
Observação: você pode ver a AMI no console do Amazon EC2. Na seção Imagens do painel de navegação, escolha AMIs.
Conceda à função vinculada ao serviço acesso à chave do KMS<br>
Se você especificar uma chave do KMS gerenciada pelo cliente para a criptografia do Amazon Elastic Block Store (Amazon EBS), deverá conceder à função vinculada ao serviço apropriado acesso à chave do KMS. Isso permite que o Amazon EC2 Auto Scaling execute instâncias em seu nome. Para fornecer esse acesso, você deve modificar a política de chave da sua chave do KMS.
Ao atualizar a política, certifique-se de definir AWSServiceRoleForAutoScaling como o usuário-chave da chave do KMS.
Se você usar essa política, substitua o nome do recurso da Amazon (ARN) pelo ARN da função vinculada ao serviço apropriada que tem acesso permitido à chave do KMS. Veja a ilustração de exemplo a seguir:
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
Observação: se você estiver usando o ambiente de computação spot com a estratégia mais adequada, use ** AWSServiceRoleForEC2SpotFleet** em vez de AWSServiceRoleForAutoScaling na política de chave anterior.
Crie um novo ambiente de computação
Crie um novo ambiente de computação.
**Importante:**Ao criar seu ambiente de computação, você deve marcar a caixa de seleção Ativar ID da AMI especificado pelo usuário. Em seguida, insira seu ID na caixa ID da AMI que aparece e escolha Validar AMI.
Conteúdo relevante
- AWS OFICIALAtualizada há 9 meses
- AWS OFICIALAtualizada há 4 meses
- AWS OFICIALAtualizada há 2 anos