Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

如何查看有关我的 AMI 或快照的加密信息？

2 分钟阅读

我想知道我的亚马逊机器映像 (AMI) 或快照是否已加密。如果已加密，我想知道使用的是 AWS Key Management Service (AWS KMS) 托管式密钥还是客户自主管理型密钥。

解决方案

注意：

如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。
AWS CLI 的默认输出格式为 JSON。您可以使用默认格式，也可以选择其他输出格式。有关详细信息，请参阅在 AWS CLI 中设置输出格式。

AWS CLI

要使用 AWS CLI 查看加密信息，请完成以下步骤：

要查看与 AMI 关联的快照，请使用 BlockDeviceMappings 查询筛选器运行 describe-images 命令。

aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
[    
    [{
        "DeviceName": "/dev/xvda",
        "Ebs": {
            "DeleteOnTermination": true,
            "SnapshotId": "snap-#########",
            "VolumeSize": 8,
            "VolumeType": "gp2",
            "Encrypted": true
        }
    }]
]

**注意：**请将 image-ids 和 region 替换为您的 AMI 的映像 ID 和 AWS 区域。

上述示例输出结果显示了与 AMI 关联的快照。快照的 Encrypted 参数设置为 true。

运行 describe-snapshots 命令。使用 describe-images 命令输出结果中列出的快照的 snapshot-id：

aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
{    "Snapshots": [{
        "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
        "Encrypted": true,
        "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
        "OwnerId": "111122223333",
        "Progress": "100%",
        "SnapshotId": "snap-##########",
        "StartTime": "2020-01-21T13:05:53.887Z",
        "State": "completed",
        "VolumeId": "vol-ffffffff",
        "VolumeSize": 8
    }]
}

复制命令输出结果中的 KMSKeyId。

要确定密钥是 AWS KMS 密钥还是客户自主管理型密钥，请运行 describe-key 命令。

aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
{    "KeyMetadata": {
        "AWSAccountId": "92#########",
        "KeyId": "dcd4d062-#########-#########",
        "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
    }
}

**注意：**请将 key-id 替换为 describe-snapshot 命令中列出的 KMSKeyId。将 region 替换为快照的区域。
在上述示例输出结果中，KeyManager 参数为 Customer。密钥为客户自主管理型密钥。对于 AWS KMS 密钥，KeyManager 参数为 AWS。

Amazon EC2 控制台

要使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台查看加密信息，请完成以下步骤：

打开 Amazon EC2 控制台。
在导航窗格中，选择 AMI。
使用筛选和搜索选项将显示的 AMI 列表限制为仅显示匹配您条件的 AMI。
选择 Preferences（首选项）图标，然后选择要显示的映像属性，例如根设备类型。或者，您可以从列表中选择一个 AMI，然后在 Details（详细信息）选项卡中查看其属性。
选择 Storage properties（存储属性）选项卡。
选择快照，然后在 Description（描述）选项卡上，验证 Encryption（加密）是设置为 Encrypted（加密）还是 Not Encrypted（未加密）。如果快照已加密，请记下 KMS 密钥 ID 和 KMS 密钥 ARN。
打开 AWS KMS 控制台。
选择 AWS 托管式密钥，然后输入 KMS 密钥 ID。如果未显示任何结果，请选择客户托管密钥，然后输入 KMS 密钥 ID。

**注意：**您无法共享使用 AWS 托管式密钥加密的 AMI。有关更多信息，请参阅共享快照之前的注意事项。

如何查看有关我的 AMI 或快照的加密信息？

解决方案

AWS CLI

Amazon EC2 控制台

相关信息

相关内容