¿Cómo puedo ver la información de cifrado de mi AMI o instantánea?

4 minutos de lectura
0

Quiero saber si mi imagen de máquina de Amazon (AMI) o instantánea está cifrada. Si es así, quiero saber si usa una clave administrada por AWS Key Management Service (AWS KMS) o una clave administrada por el cliente.

Solución

Nota:

AWS CLI

Para usar la AWS CLI para ver la información de cifrado, sigue estos pasos:

  1. Para ver las instantáneas asociadas a la AMI, ejecuta el comando describe-images con el filtro de consulta BlockDeviceMappings.

    aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
    [    
        [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-#########",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }]
    ]

    Nota: Sustituye image-ids y region por el ID de imagen y la región de AWS de tu AMI.

    El resultado del ejemplo anterior muestra la instantánea asociada a la AMI. El parámetro Encrypted de la instantánea tiene el valor true.

  2. Ejecuta el comando describe-snapshots. Usa el snapshot-id de la instantánea que aparece en el resultado del comando describe-images:

    aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
    {    "Snapshots": [{
            "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-##########",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }]
    }

    En el resultado del comando, copia el KMSKeyId.

  3. Para determinar si la clave es una clave de AWS KMS o una clave administrada por el cliente, ejecuta el comando describe-key.

    aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
    {    "KeyMetadata": {
            "AWSAccountId": "92#########",
            "KeyId": "dcd4d062-#########-#########",
            "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
            "CreationDate": 1579611763.538,
            "Enabled": true,
            "Description": "02-example-CMK",
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "Origin": "AWS_KMS",
            "KeyManager": "CUSTOMER",
            "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
            "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
        }
    }

    Nota: Sustituye key-id por el KMSKeyId que aparece en el comando describe-snapshot. Sustituye region por la región de la instantánea.
    En el resultado del ejemplo anterior, el parámetro KeyManager es Customer. La clave es una clave administrada por el cliente. Para una clave de AWS KMS, el parámetro KeyManager es AWS.

Consola de Amazon EC2

Para usar la consola de Amazon Elastic Compute Cloud (Amazon EC2) para ver la información de cifrado, sigue estos pasos:

  1. Abre la consola de Amazon EC2.
  2. En el panel de navegación, selecciona AMI.
  3. Utiliza las opciones de filtro y búsqueda para limitar la lista de AMI mostradas solo a las AMI que coincidan con tus criterios.
  4. Selecciona el icono Preferencias y selecciona los atributos de imagen que deseas mostrar, como el tipo de dispositivo raíz. O bien, puedes seleccionar una AMI de la lista y ver sus propiedades en la pestaña Detalles.
  5. Selecciona la pestaña Propiedades de almacenamiento.
  6. Selecciona la instantánea y, a continuación, en la pestaña Descripción, comprueba si el cifrado está configurado en Cifrado o No cifrado. Si la instantánea está cifrada, anota el ID de la clave de KMS y el ARN de la clave de KMS.
  7. Abre la consola de AWS KMS.
  8. Elige las claves administradas de AWS y, a continuación, introduce el ID de clave de KMS. Si no aparece ningún resultado, elige Claves administradas por el cliente y, a continuación, introduce el ID de clave de KMS.

Nota: No puedes compartir AMI cifradas con una clave administrada de AWS. Para obtener más información, consulta Antes de compartir una instantánea.

Información relacionada

Conceptos de AWS KMS

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 meses