Como posso visualizar as informações de criptografia sobre minha AMI ou snapshot?

3 minuto de leitura
0

Quero saber se minha imagem de máquina da Amazon (AMI) ou snapshot está criptografado. Se estiver, quero saber se ele(a) usa uma chave gerenciada do AWS Key Management Service (AWS KMS) ou uma chave gerenciada pelo cliente.

Resolução

Observação:

Usar os comandos da AWS CLI para visualizar informações de criptografia

1.    Para visualizar os snapshots associados à AMI, execute o comando describe-images com o filtro de consulta BlockDeviceMappings. No exemplo a seguir, substitua image-ids e region pelo ID e pela região da AWS da sua AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

O exemplo de saída anterior mostra o snapshot associado à AMI. O parâmetro Encrypted do snapshot está definido como true.

2.Execute o comando describe-snapshots. Use o snapshot-id do snapshot listado na saída do comando describe-images:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

Na saída do comando, anote o KMSKeyId.

3.    Para determinar se a chave é uma chave do AWS KMS ou uma chave gerenciada pelo cliente, execute o comando describe-key. No comando a seguir, substitua key-id pelo KMSKeyId que está listado no comando describe-snapshot. Substitua region pela região do snapshot.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

No exemplo de saída anterior, o parâmetro KeyManager é Customer. Isso indica que a chave é uma chave gerenciada pelo cliente. Para uma chave do AWS KMS, o parâmetro KeyManager é AWS.

Use o console para visualizar as informações de criptografia

  1. Abra o console do Amazon Elastic Compute Cloud (Amazon EC2) e escolha AMIs.
  2. Copie o ID da AMI para a qual você deseja obter detalhes.
  3. Em Elastic Block Store, escolha Snapshots.
  4. Insira o ID da AMI e aperte ENTER.
  5. Selecione o snapshot e na guia Descrição verifique se Criptografia está definida como Criptografado ou Não criptografado. Se o snapshot estiver criptografado, anote o ID da chave do KMS e o ARN da chave do KMS.
  6. Abra o console do AWS KMS.
  7. Escolha chaves gerenciadas da AWS e insira o ID da chave do KMS. Se nenhum resultado aparecer, escolha Chaves gerenciadas pelo cliente e insira o ID da chave do KMS.

Observação: Você não pode compartilhar AMIs criptografadas com uma chave gerenciada pela AWS. Para obter mais informações, consulte Antes de compartilhar um snapshot.

Informações relacionadas

Conceitos do AWS KMS

AWS OFICIAL
AWS OFICIALAtualizada há 7 meses