Complete a 3 Question Survey and Earn a re:Post Badge
Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
如何查看有关我的 AMI 或快照的加密信息?
我想知道我的亚马逊机器映像 (AMI) 或快照是否已加密。如果已加密,我想知道使用的是 AWS Key Management Service (AWS KMS) 托管式密钥还是客户自主管理型密钥。
解决方案
注意:
- 如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
- AWS CLI 的默认输出格式为 JSON。您可以使用默认格式,也可以选择其他输出格式。有关详细信息,请参阅在 AWS CLI 中设置输出格式。
AWS CLI
要使用 AWS CLI 查看加密信息,请完成以下步骤:
-
要查看与 AMI 关联的快照,请使用 BlockDeviceMappings 查询筛选器运行 describe-images 命令。
aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings" [ [{ "DeviceName": "/dev/xvda", "Ebs": { "DeleteOnTermination": true, "SnapshotId": "snap-#########", "VolumeSize": 8, "VolumeType": "gp2", "Encrypted": true } }] ]
**注意:**请将 image-ids 和 region 替换为您的 AMI 的映像 ID 和 AWS 区域。
上述示例输出结果显示了与 AMI 关联的快照。快照的 Encrypted 参数设置为 true。
-
运行 describe-snapshots 命令。使用 describe-images 命令输出结果中列出的快照的 snapshot-id:
aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1 { "Snapshots": [{ "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.", "Encrypted": true, "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########", "OwnerId": "111122223333", "Progress": "100%", "SnapshotId": "snap-##########", "StartTime": "2020-01-21T13:05:53.887Z", "State": "completed", "VolumeId": "vol-ffffffff", "VolumeSize": 8 }] }
复制命令输出结果中的 KMSKeyId。
-
要确定密钥是 AWS KMS 密钥还是客户自主管理型密钥,请运行 describe-key 命令。
aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1 { "KeyMetadata": { "AWSAccountId": "92#########", "KeyId": "dcd4d062-#########-#########", "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########", "CreationDate": 1579611763.538, "Enabled": true, "Description": "02-example-CMK", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"] } }
**注意:**请将 key-id 替换为 describe-snapshot 命令中列出的 KMSKeyId。将 region 替换为快照的区域。
在上述示例输出结果中,KeyManager 参数为 Customer。密钥为客户自主管理型密钥。对于 AWS KMS 密钥,KeyManager 参数为 AWS。
Amazon EC2 控制台
要使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台查看加密信息,请完成以下步骤:
- 打开 Amazon EC2 控制台。
- 在导航窗格中,选择 AMI。
- 使用筛选和搜索选项将显示的 AMI 列表限制为仅显示匹配您条件的 AMI。
- 选择 Preferences(首选项)图标,然后选择要显示的映像属性,例如根设备类型。或者,您可以从列表中选择一个 AMI,然后在 Details(详细信息)选项卡中查看其属性。
- 选择 Storage properties(存储属性)选项卡。
- 选择快照,然后在 Description(描述)选项卡上,验证 Encryption(加密)是设置为 Encrypted(加密)还是 Not Encrypted(未加密)。如果快照已加密,请记下 KMS 密钥 ID 和 KMS 密钥 ARN。
- 打开 AWS KMS 控制台。
- 选择 AWS 托管式密钥,然后输入 KMS 密钥 ID。如果未显示任何结果,请选择客户托管密钥,然后输入 KMS 密钥 ID。
**注意:**您无法共享使用 AWS 托管式密钥加密的 AMI。有关更多信息,请参阅共享快照之前的注意事项。
相关信息

相关内容
- AWS 官方已更新 4 个月前