¿Cómo puedo crear una AMI cifrada para Batch?

3 minutos de lectura
0

Quiero crear una imagen de máquina de Amazon (AMI) cifrada para AWS Batch.

Descripción breve

Puede utilizar claves personalizadas de AWS Key Management Service (AWS KMS) para cifrar las AMI y, a continuación, utilizar las AMI cifradas para lanzar instancias de AWS Batch.

Solución

Creación de una instantánea de una AMI optimizada para Amazon ECS

Siga estos pasos:

  1. Inicie una instancia de Amazon Elastic Compute Cloud (Amazon EC2) basada en una AMI optimizada para Amazon Elastic Container Service (Amazon ECS).
    Nota: Para elegir una AMI, consulte AMI de Linux optimizadas para Amazon ECS.
  2. Cree una instantánea a partir del volumen raíz de la instancia de EC2 que inició.
  3. Para evitar cargos, elimine la instancia de EC2 que había creado.

Cifrado de la instantánea y creación de una AMI de la instantánea cifrada

Siga estos pasos:

  1. Abra la consola de Amazon EC2.
  2. En el panel de navegación, en Elastic Block Store, elija Instantáneas.
  3. Seleccione la instantánea que había creado, elija Acciones y, a continuación, seleccione Copiar.
  4. En la ventana Copiar instantánea, en Cifrado, seleccione Cifrar esta instantánea.
  5. En Clave de KMS, elija su propia clave de AWS KMS administrada por el cliente.
    Nota: La clave utilizada para el cifrado en estos pasos es una clave simétrica.
  6. Seleccione Copiar instantánea.
  7. Seleccione la instantánea cifrada cuando pase al estado Completada, elija Acciones y, a continuación, seleccione Crear imagen a partir de una instantánea.

Nota: Puede ver la AMI desde la consola de Amazon EC2. En la sección Imágenes del panel de navegación, seleccione AMI.

Concesión de acceso a la clave de KMS al rol vinculado al servicio

Para especificar una clave de AWS KMS administrada por el cliente para el cifrado de Amazon Elastic Block Store (Amazon EBS), conceda acceso a la clave al rol vinculado al servicio. Este acceso permite que Amazon EC2 Auto Scaling inicie instancias en su nombre. Para proporcionar este acceso, debe modificar la política de claves de su clave de KMS.

Cuando actualice la política, configure AWSServiceRoleForAutoScaling como usuario clave para la clave de KMS.

Para usar esta política, sustituya el nombre de recurso de Amazon (ARN) por el ARN del rol vinculado al servicio que puede acceder a la clave de KMS.

Ejemplo de política:

{
  "Id": "key-consolepolicy-3",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Nota: Si utiliza el entorno de computación de spot con la estrategia que mejor encaje, utilice AWSServiceRoleForEC2SpotFleet en lugar de AWSServiceRoleForAutoScaling en la política de claves anterior.

Creación de un nuevo entorno de computación

Cree un nuevo entorno de cómputo.

Importante: Cuando cree su entorno de computación, debe seleccionar la opción Habilitar ID de AMI especificada por el usuario. A continuación, introduzca el ID de la AMI en el cuadro ID de la AMI que aparece y seleccione Validar AMI.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 meses