Como posso visualizar as informações de criptografia sobre minha AMI ou snapshot?

Resolução

Observação:

• Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando sua versão mais recente.
• JSON é a saída padrão da AWS CLI. Você pode usar o formato padrão ou acrescentar --output json aos comandos para receber uma saída semelhante às saídas do exemplo a seguir. Para obter mais informações, consulte Selecionar o formato de saída.

Usar os comandos da AWS CLI para visualizar informações de criptografia

1.    Para visualizar os snapshots associados à AMI, execute o comando describe-images com o filtro de consulta BlockDeviceMappings. No exemplo a seguir, substitua image-ids e region pelo ID e pela região da AWS da sua AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

O exemplo de saída anterior mostra o snapshot associado à AMI. O parâmetro Encrypted do snapshot está definido como true.

2.Execute o comando describe-snapshots. Use o snapshot-id do snapshot listado na saída do comando describe-images:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

Na saída do comando, anote o KMSKeyId.

3.    Para determinar se a chave é uma chave do AWS KMS ou uma chave gerenciada pelo cliente, execute o comando describe-key. No comando a seguir, substitua key-id pelo KMSKeyId que está listado no comando describe-snapshot. Substitua region pela região do snapshot.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

No exemplo de saída anterior, o parâmetro KeyManager é Customer. Isso indica que a chave é uma chave gerenciada pelo cliente. Para uma chave do AWS KMS, o parâmetro KeyManager é AWS.

Use o console para visualizar as informações de criptografia

1. Abra o console do Amazon Elastic Compute Cloud (Amazon EC2) e escolha AMIs.
2. Copie o ID da AMI para a qual você deseja obter detalhes.
3. Em Elastic Block Store, escolha Snapshots.
4. Insira o ID da AMI e aperte ENTER.
5. Selecione o snapshot e na guia Descrição verifique se Criptografia está definida como Criptografado ou Não criptografado. Se o snapshot estiver criptografado, anote o ID da chave do KMS e o ARN da chave do KMS.
6. Abra o console do AWS KMS.
7. Escolha chaves gerenciadas da AWS e insira o ID da chave do KMS. Se nenhum resultado aparecer, escolha Chaves gerenciadas pelo cliente e insira o ID da chave do KMS.

Observação: Você não pode compartilhar AMIs criptografadas com uma chave gerenciada pela AWS. Para obter mais informações, consulte Antes de compartilhar um snapshot.

Informações relacionadas

Conceitos do AWS KMS