Wie teile ich verschlüsselte AMIs kontoübergreifend, um verschlüsselte EC2-Instances zu starten?

Behebung

Voraussetzung: Stelle sicher, dass du die Anforderungen für die gemeinsame Nutzung von AMIs erfüllst.

Gehe wie folgt vor, um verschlüsselte AMIs für mehrere Konten freizugeben:

1. Überprüfe die AMI-Verschlüsselungsdetails.
   Hinweis: Du kannst von AWS verwaltete Schlüssel nicht für mehrere Konten gemeinsam nutzen. Daher kannst du AMIs, die du mit dem von AWS verwalteten Standardschlüssel verschlüsselt hast, nicht teilen. Wenn du einen von AWS verwalteten Schlüssel zum Verschlüsseln des AMI verwendet hast, kopiere das AMI und verwende einen vom Kunden verwalteten Schlüssel, um das neue AMI zu verschlüsseln.
2. Teile das AMI mit dem Zielkonto.
   Hinweis: Das Zielkonto ist dein Konto, das die verschlüsselten EC2-Instances mit gemeinsam genutzten benutzerdefinierten AMIs startet.
3. Bearbeite die Schlüsselrichtlinie, um Benutzern im Zielkonto den Zugriff auf den AWS Key Management Service (AWS KMS)-Schlüssel zu ermöglichen.
4. Erstelle einen AWS Identity and Access Management (IAM)-Benutzer oder eine -Rolle im Zielkonto. Hänge dann eine Richtlinie an die Rolle an, die ihr die Berechtigungen DescribeKey, ReEncrypt*, Decrypt, GenerateDataKeyWithoutPlainText und CreateGrant für deinen AWS-KMS-Schlüssel erteilt. Beispiel für eine Richtlinie:

   {  "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:DescribeKey",
           "kms:ReEncrypt*",
           "kms:Decrypt",
           "kms:GenerateDataKeyWithoutPlainText",
           "kms:CreateGrant"
         ],
         "Resource": [
           "arn:aws:kms:us-east-1:111111111111:key/cmkSource"
         ]
       }
     ]
   }

   Hinweis: Ersetze 111111111111 durch die Quellkonto-ID mit dem verschlüsselten AMI, us-east-1 durch deine AWS-Region und cmkSource durch die ID des vom Kunden verwalteten Schlüssels.
5. Öffne die Amazon-EC2-Konsole.
6. Wähle im Navigationsbereich EC2-Dashboard und dann Instance starten aus.
7. Gib unter Namen und Tags für Name einen Namen für deine Instance ein.
8. Wähle unter Anwendungs- und Betriebssystem-Images (Amazon Machine Image) die Option Weitere AMIs durchsuchen aus, um das gemeinsam genutzte verschlüsselte AMI zu finden.
9. Wähle Meine AMIs und dann Mit mir geteilt aus.
10. Wähle unter Instance-Typ einen Instance-Typ aus.
11. Wähle unter Schlüsselpaar (Anmeldung) für Schlüsselpaarname ein Schlüsselpaar aus. Oder erstelle ein neues.
12. (Optional) Wähle unter Netzwerkeinstellungen die Option Bearbeiten und dann deine Virtual Private Cloud (VPC) oder Subnetze aus.
13. Wähle unter Speicher konfigurieren die Option Erweitert aus.
14. Erweitere unter EBS-Volumes die Option Volume.
15. Wähle unter Verschlüsselt die Option Verschlüsselt aus.
16. Wähle unter KMS-Schlüssel die Option Einen benutzerdefinierten Wert angeben aus und gib dann den vollständigen Amazon-Ressourcennamen (ARN) deines Schlüssels ein. Zum Beispiel arn:aws:kms:us-east-1:111111111111:key/key-id.
    Hinweis: Wenn du keinen AWS-KMS-Schlüssel auswählst, verwendet Amazon EC2 den Standardschlüssel des Zielkontos für die Amazon Elastic Block Store (Amazon EBS)-Verschlüsselung.
17. Wähle unter Zusammenfassung die Option Instance starten aus.

Weitere Informationen findest du unter Starten einer EC2-Instance mit dem Launch Instance Wizard in der Konsole.

Ähnliche Informationen

Wie teile ich ein Amazon Machine Image (AMI) privat mit einem anderen AWS-Konto?

Szenarien zum Starten von Instanzen

Amazon-EC2-Instance starten

Wie starte ich eine EC2-Instance von einem benutzerdefinierten AMI aus?