Wie zeige ich Informationen zur Verschlüsselung meines AMIs oder Snapshots an?

Lesedauer: 3 Minute
0

Ich möchte wissen, ob mein Amazon Machine Image (AMI) oder Snapshot verschlüsselt ist. Wenn ja, möchte ich wissen, ob ein vom AWS Key Management Service (AWS KMS) verwalteter Schlüssel oder ein vom Kunden verwalteter Schlüssel verwendet wird.

Behebung

Hinweis:

AWS CLI

Gehe wie folgt vor, um die AWS CLI zum Anzeigen von Verschlüsselungsinformationen zu verwenden:

  1. Führe den Befehl describe-images mit dem BlockDeviceMappings-Abfragefilter aus, um die mit dem AMI verknüpften Snapshots anzuzeigen.

    aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
    [    
        [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-#########",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }]
    ]

    Hinweis: Ersetze image-ids und region durch die Image-ID und die AWS-Region deines AMI.

    Die vorherige Beispielausgabe zeigt den Snapshot, der mit dem AMI verknüpft ist. Der Parameter Verschlüsselt des Snapshots ist auf wahr gesetzt.

  2. Führe den Befehl describe-snapshots aus. Verwende die snapshot-id des Snapshots, die in der Ausgabe des Befehls describe-images aufgeführt ist:

    aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
    {    "Snapshots": [{
            "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-##########",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }]
    }

    Kopiere aus der Befehlsausgabe die KMSKeyId.

  3. Führe den Befehl describe-key aus, um festzustellen, ob der Schlüssel ein AWS-KMS-Schlüssel oder ein kundenverwalteter Schlüssel ist.

    aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
    {    "KeyMetadata": {
            "AWSAccountId": "92#########",
            "KeyId": "dcd4d062-#########-#########",
            "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
            "CreationDate": 1579611763.538,
            "Enabled": true,
            "Description": "02-example-CMK",
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "Origin": "AWS_KMS",
            "KeyManager": "CUSTOMER",
            "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
            "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
        }
    }

    Hinweis: Ersetze key-id durch die KMSKeyId, die im Befehl describe-snapshot aufgeführt ist. Ersetze region durch die Region des Snapshots.
    In der obigen Beispielausgabe lautet der KeyManager-Parameter Customer (Kunde). Der Schlüssel ist ein kundenverwalteter Schlüssel. Bei einem AWS-KMS-Schlüssel ist AWS für den Parameter KeyManager angegeben.

Amazon-EC2-Konsole

Gehe wie folgt vor, um die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole zum Anzeigen von Verschlüsselungsinformationen zu verwenden:

  1. Öffne die Amazon-EC2-Konsole.
  2. Wähle im Navigationsbereich AMIs aus.
  3. Verwende den Filter und die Suchoptionen, um die Liste der angezeigten AMIs auf die AMIs zu beschränken, die deinen Kriterien entsprechen.
  4. Wähle das Symbol Einstellungen und wähle die Bildattribute aus, die angezeigt werden sollen, z. B. den Root-Gerätetyp. Du kannst auch ein AMI aus der Liste auswählen und seine Eigenschaften auf der Registerkarte Details anzeigen.
  5. Wähle die Registerkarte Storage properties (Speichereigenschaften).
  6. Wähle den Snapshot aus und überprüfe auf der Registerkarte Beschreibung, ob Verschlüsselung auf Verschlüsselt oder Nicht verschlüsselt gesetzt ist. Wenn der Snapshot verschlüsselt ist, notiere dir die KMS-Schlüssel-ID und den KMS-Schlüssel-ARN.
  7. Öffne die AWS-KMS-Konsole.
  8. Wähle Von AWS verwaltete Schlüssel und gib die KMS-Schlüssel-ID ein. Wenn keine Ergebnisse angezeigt werden, wähle Kundenverwaltete Schlüssel und gib die KMS-Schlüssel-ID ein.

Hinweis: Du kannst keine AMIs teilen, die mit einem von AWS verwalteten Schlüssel verschlüsselt sind. Weitere Informationen findest du unter Before you share a snapshot.

Ähnliche Informationen

AWS KMS-Konzepte

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Monaten